Ο ερευνητής ασφαλείας Jimmy Bayne με μια δημοσίευση στο Twitter ανακοίνωσε ένα κενό στις ρυθμίσεις θεμάτων των Windows 10 που μπορεί να επιτρέψει σε κακόβουλους χρήστες να σας κλέψουν τα διαπιστευτήρια.
Πως; δημιουργώντας ένα theme μπορούν να πραγματοποιήσουν μια επίθεση “Pass-the-Hash”.
Η δυνατότητα εγκατάστασης θεμάτων από άλλες πηγές επιτρέπει την δημιουργία κακόβουλων θεμάτων που όταν ανοίγουν, ανακατευθύνουν τους χρήστες σε μια σελίδα που τους ζητά να εισάγουν τα διαπιστευτήριά τους.
Τα Windows επιτρέπουν στους χρήστες να αλλάζουν θέματα, από τις Ρυθμίσεις – Εξατομίκευση κάνοντας δεξί κλικ στο τρέχον ενεργό θέμα. Μετά επιλέγετε “Αποθήκευση θέματος για κοινή χρήση”. Αυτό θα δημιουργήσει ένα αρχείο “.deskthemepack” που μπορείτε να μοιραστείτε μέσω email ή όπως αλλιώς θέλετε. Το νέο αρχείο μπορεί να εγκατασταθεί.
Οι εισβολείς μπορούν επίσης να δημιουργήσουν ένα αρχείο “.theme” όπου η προεπιλεγμένη ρύθμιση ταπετσαρίας οδηγεί σε έναν κακόβουλο ιστότοπο που απαιτεί έλεγχο ταυτότητας. Εκεί οι ανυποψίαστοι χρήστες δίνουν τα διαπιστευτήριά τους, τα οποία αποστέλλονται με κρυπτογράφηση NTLM στον ιστότοπο. Οι κωδικοί πρόσβασης διαβάζονται στη συνέχεια χρησιμοποιώντας ένα ειδικό λογισμικό αποκρυπτογράφησης.
Ο ερευνητής ανέφερε ένα τρόπο προστασίας για αυτές τις επιθέσεις. Θα πρέπει να αποκλειστούν οι επεκτάσεις όπως “.theme”, “.themepack” και “.desktopthemepackfile”.
Ο Bayne αναφέρει ότι αυτά τα ευρήματα γνωστοποιήθηκαν στο Microsoft Security Response Center (MSRC). Ωστόσο, το σφάλμα δεν διορθώθηκε επειδή ήταν “χαρακτηριστικό από το σχεδιασμό”. Δεν είναι γνωστό η εταιρεία σκοπεύει να διορθώσει το σφάλμα μετά από αυτήν την αποκάλυψη ή εάν αλλάξει τη δομή των αρχείων για τα θέματα για να αποτρέψει τα redirects σε ιστότοπους που απαιτούν έλεγχο ταυτότητας.
Αν σκεφτεί κανείς ότι οι περισσότεροι χρήστες είναι συνδεδεμένοι στους λογαριασμούς τους με τον λογαριασμό της Microsoft στα Windows 10, η κλοπή των διαπιστευτηρίων θέτει σε κίνδυνο πολλά δεδομένα των χρηστών – όπως το email, το OneDrive ή ακόμη και δεδομένα του Azure.