O nouă descoperire a cercetătorului în domeniul securității Jimmy Bayne , care a dezvăluit-o pe Twitter, dezvăluie o vulnerabilitate în motorul temelor Windows 10 care poate fi folosit pentru a fura acreditările utilizatorilor. O temă specială malformată, atunci când este deschisă, redirecționează utilizatorii către o pagină care îi solicită utilizatorilor să își introducă acreditările.
Reclama
cum să schimbați numele contului
După cum probabil știți deja, Windows permite partajarea temelor în Setări. Acest lucru se poate face deschizând Setări> Personalizare> Teme și apoi selectând pe „Salvați tema pentru partajare
'din meniu. Aceasta va crea un nou *.deskthemepack fișier
pe care utilizatorul îl poate încărca pe Internet, trimite prin e-mail sau poate partaja cu alții printr-o varietate de metode. Alți utilizatori pot descărca astfel de fișiere și le pot instala cu un singur clic.
Un atacator poate crea în mod similar un fișier „.theme” în care setarea implicită a fundalului indică un site web care necesită autentificare. Când utilizatorii nebănuiți își introduc acreditările, un hash NTLM al detaliilor este trimis site-ului pentru autentificare. Parolele necomplexe sunt apoi deschise cu ajutorul unui software special de deconectare.
[Truc de recoltare a acreditării] Folosind un fișier Windows .theme, tasta Wallpaper poate fi configurată pentru a indica o resursă http / s necesară autentificare la distanță. Când un utilizator activează fișierul tematic (de exemplu, este deschis dintr-un link / atașament), se afișează utilizatorului o solicitare Windows cred.
Ce sunt fișierele * .theme?
Din punct de vedere tehnic, fișierele * .theme sunt fișiere * .ini care includ un număr de secțiuni pe care Windows le citește și modifică aspectul sistemului de operare în conformitate cu instrucțiunile găsite. Fișierul tematic specifică culoarea accentului, imaginile de fundal de aplicat și câteva alte opțiuni.
cum se convertește un wav în mp3
Una dintre secțiunile sale arată după cum urmează.
[Panou de control Desktop]
Wallpaper =% WinDir% web wallpaper Windows img0.jpg
Specifică imaginea de fundal implicită aplicată atunci când utilizatorul instalează tema. În loc de calea locală, indică cercetătorul, aceasta poate fi setată la o resursă la distanță care poate fi utilizată pentru a determina utilizatorul să-și introducă acreditările. Tasta de fundal se află sub secțiunea „Control Panel Desktop” din fișierul .theme. Alte chei pot fi folosite în același mod, iar acest lucru poate funcționa și pentru divulgarea hash-ului netNTLM atunci când este setat pentru locații de fișiere la distanță, spune Jimmy Bayne.
Cercetătorul oferă o metodă de atenuare a problemei.
Dintr-o perspectivă defensivă, blocați / reasociați / căutați extensiile „temă”, „themepack”, „desktopthemepackfile”. În browsere, utilizatorii ar trebui să primească o verificare înainte de deschidere. Alte vulne CVE au fost dezvăluite în ultimii ani, deci merită abordate și atenuate
Sursă: Neowin