Темы Windows 10 могут быть использованы для кражи паролей Windows

windows-10-mesh-header.jpg
Специально созданные темы и пакеты тем Windows 10 могут использоваться в атаках «Pass-the-Hash» для кражи учетных данных Windows у ничего не подозревающих пользователей.
Windows позволяет пользователям создавать собственные темы, содержащие индивидуальные цвета, звуки, курсоры мыши и обои, которые будет использовать операционная система.
После этого пользователи Windows могут переключаться между различными темами по желанию, чтобы изменить внешний вид операционной системы.

change-windows-themes.jpg

Сменить тему Windows
Настройки темы сохраняются в папке% AppData% \ Microsoft \ Windows \ Themes в виде файла с расширением .theme, например Custom Dark.theme.
custom-dark-theme.jpg

Файл темы Windows 10
Затем темами Windows можно поделиться с другими пользователями, щелкнув правой кнопкой мыши активную тему и выбрав «Сохранить тему для совместного использования», в результате чего тема будет упакована в файл .deskthemepack.
Эти пакеты тем для рабочего стола можно затем отправить по электронной почте или загрузить на веб-сайтах и установить, дважды щелкнув их.

Пользовательские темы можно использовать для кражи паролей Windows
В эти выходные исследователь безопасности Джимми Бэйн ( @bohops ) показал, что специально созданные темы Windows могут использоваться для выполнения атак Pass-the-Hash.
Атаки Pass-the-Hash используются для кражи имен пользователей Windows и хэшей паролей путем обмана пользователя для получения доступа к удаленному общему ресурсу SMB, который требует аутентификации.
При попытке получить доступ к удаленному ресурсу Windows автоматически попытается войти в удаленную систему, отправив имя пользователя Windows для входа и NTLM-хэш его пароля.
При атаке Pass-the-Hash отправленные учетные данные собираются злоумышленниками, которые затем пытаются расшифровать пароль для доступа к имени пользователя и паролю посетителей.
В тесте, ранее проведенном BleepingComputer , взлом простого пароля занимал около 4 секунд!

password-cracker.jpg Взлом NTLM-пароля за четыре секунды
В новом методе, обнаруженном Бэйном, злоумышленник может создать специально созданный файл .theme и изменить настройку обоев рабочего стола, чтобы использовать ресурс, требующий удаленной аутентификации, как показано ниже.
malicious-theme.jpg

Вредоносный файл темы Windows
Когда Windows пытается получить доступ к ресурсу, требующему удаленной проверки подлинности, она автоматически пытается войти в общий ресурс, отправив хэш NTLM и имя входа для пользователя, вошедшего в учетную запись.

login-prompt.jpg

Автоматическая попытка авторизации на ресурсе
Затем злоумышленник может собрать учетные данные и расшифровать пароль с помощью специальных скриптов, чтобы он был в текстовой форме.
credential-harvester.jpg

Сбор учетных данных Windows
Поскольку атаки Pass-the-Hash отправляют учетную запись, используемую для входа в Windows, включая учетную запись Microsoft, этот тип атаки становится более проблематичным.

Поскольку Microsoft переходит от локальных учетных записей Windows 10 к учетным записям Microsoft, удаленные злоумышленники могут использовать эту атаку для более легкого доступа к множеству удаленных служб, предлагаемых Microsoft.

Это включает возможность удаленного доступа к электронной почте, Azure или доступным корпоративным сетям.
Бейн заявил, что сообщил об этой атаке Microsoft ранее в этом году, но ему сказали, что она не будет исправлена, поскольку это «особенность по замыслу».

Защита от вредоносных файлов тем
Для защиты от вредоносных файлов тем Бейн посоветовал вам заблокировать или повторно связать расширения .theme, .themepack и .desktopthemepackfile с другой программой.
tweet.jpg

Учетные данные для сбора урожая
Однако это нарушит работу функции тем Windows 10, поэтому используйте ее только в том случае, если вам не нужно переключаться на другую тему.
Пользователи Windows могут настроить групповую политику с именем « Сетевая безопасность: ограничить NTLM: исходящий трафик NTLM на удаленные серверы» и установить для нее значение « Запретить все », чтобы ваши учетные данные NTLM не отправлялись на удаленные узлы.

policy.jpg

Ограничить NTLM: исходящий трафик NTLM на удаленные серверы
Обратите внимание, что настройка этого параметра может вызвать проблемы в корпоративных средах, использующих удаленные общие ресурсы.
Для получения более подробной информации о том, как включить эту политику, а также о значениях реестра для пользователей Windows 10 Home, вы можете прочитать нашу специальную статью « Понимание уязвимости утечки учетных данных Windows и способы ее предотвращения ».

Перевод с английского - Google

 
Назад
Сверху Снизу