Mereka mengesan ancaman yang menggunakan tema "disediakan" dalam Windows untuk mencuri kata laluan akses komputer kita

Dapat mengubah penampilan peralatan kami adalah salah satu aspek yang paling disukai pengguna. Menukar reka letak desktop anda adalah semudah memuat turun dan menggunakan tema. Dan sebenarnya, di sini kita telah melihat tema dan reka bentuk yang, sebagai contoh, Microsoft telah melancarkan secara berkala di gedung aplikasinya.

"

Tema dan pek tema Windows 10 menawarkan sejumlah besar pilihan dan hampir kesemuanya selamat, terutamanya yang dikeluarkan oleh Microsoft.Dan kami merujuk kepada itu hampir semua apabila bercakap tentang keselamatan, kerana penemuan seorang penyelidik yang telah menemui tema yang direka khas untuk mencuri kata laluan kami "

Pass-the-Hash Attacks

Tema membenarkan untuk menukar hampir mana-mana aspek desktop kami Warna, latar belakang, ikon, kursor... hampir semuanya boleh diubah suai oleh tema yang dimuat turun atau yang kami suaikan sendiri. Tema mencipta konfigurasi yang disimpan dalam laluan AppData%\Microsoft\Windows\Themes sebagai fail dengan sambungan .theme.

"

Hasilnya, fail dengan sambungan .theme, boleh dikongsi dengan pengguna lain dan di sinilah masalah yang ditemui oleh penyelidik @bohops pada akaun Twitternya. Tema yang dibungkus khas untuk melakukan serangan Pass-the-Hash (PtH) pada komputer kami."

Serangan yang mudah dilakukan dan sehinggakan di Bleeping Computer mereka telah mengikuti kaedah ini dan telah berjaya mendapatkan kata laluan tanpa komplikasi lanjut.

Sejenis serangan yang bertujuan untuk mencuri kelayakan untuk mendapatkan akses kepada komponen sistem lain dengan tujuan untuk mendapatkan kawalan penuh terhadap ia dan akses kepada semua jenis maklumat yang kami simpan dan yang beredar melalui sistem pengendalian.

Penyerang cuba mengakses dan mendapatkan bukti kelayakan log masuk pada komputer supaya, setelah dicapai, dia boleh mengenal pasti dirinya pada komputer lain yang disambungkan ke rangkaian. Ini adalah persoalan untuk mengakses nilai cincang kata laluan dan dengan cara ini dapat mengakses semua jenis perkhidmatan. Dalam kes ini, ia bukan soal mengakses kata laluan dalam teks biasa, tetapi cincang NTLM, yang menjadikan serangan lebih mudah untuk dijalankan.

Dalam kes ini, fail .tema yang diubah suai ini adalah menukar tetapan supaya tema perlu mencari sumber atau fail jauh yang memerlukan pengesahan. Pada ketika itu apabila anda cuba mengakses fail itu dari jauh, ia akan cuba log masuk secara automatik dengan menghantar cincang NTLM dan nama pengguna akaun Windows.

Dalam situasi ini, penyelesaian yang disyorkan oleh penemu ancaman adalah untuk jangan memuat turun atau memasang fail dengan sambungan ini, terutamanya apabila Mereka datang dari tapak yang tidak boleh dipercayai. Satu lagi langkah yang lebih ekstrem melibatkan menyekat semua sambungan fail .theme, .themepack. dan .desktopthemepackfile, tetapi dengan cara ini kami tidak akan dapat menukar tema pada komputer kami.

Melalui | Komputer Bleeping