Они обнаруживают угрозу, которая использует «подготовленные» темы в Windows для кражи паролей доступа к нашему компьютеру
Оглавление:
Возможность изменять внешний вид нашего оборудования — один из аспектов, который нравится пользователям больше всего. Изменить макет рабочего стола так же просто, как загрузить и применить тему. И действительно, здесь мы увидели темы и дизайны, которые, например, Microsoft периодически запускает в своем магазине приложений.
"Темы и пакеты тем для Windows 10 предлагают большое количество вариантов, и почти все они безопасны, особенно выпущенные Microsoft.И мы ссылаемся на это почти всегда, когда говорим о безопасности, благодаря открытию исследователя, который обнаружил специально разработанные темы для кражи наших паролей "
Атаки с передачей хеша
Темы позволяют изменить почти любой аспект нашего рабочего стола Цвета, фон, значки, курсор... почти все можно изменить с помощью темы, которые загружаются или которые мы настраиваем сами. Темы создают конфигурацию, которая хранится по пути AppData%\Microsoft\Windows\Themes в виде файла с расширением .theme.
"Результат — файл с расширением .theme, которым можно поделиться с другими пользователями, и именно в этом заключается проблема, обнаруженная исследователем @bohops в своем Twitter-аккаунте. Темы, специально упакованные для выполнения атаки Pass-the-Hash (PtH) на наши компьютеры."
Простые атаки, и настолько, что в Bleeping Computer они следовали этому методу и сумели получить пароль без дальнейших осложнений.
Тип атаки, направленный на кражу учетных данных для получения доступа к другим системным компонентам с целью получения полного контроля над это и доступ ко всем типам информации, которую мы храним и которая циркулирует через операционную систему.
Злоумышленник пытается получить доступ и получить учетные данные для входа на компьютер, чтобы после их получения он мог идентифицировать себя на других компьютерах, подключенных к сети. Речь идет о доступе к хеш-значениям пароля и, таким образом, о возможности доступа ко всем видам услуг. В данном случае речь идет не о доступе к паролю в открытом виде, а скорее о хэше NTLM, что упрощает проведение атаки.
В этом случае этот модифицированный файл .theme изменяет настройки, так что тема должна искать ресурс или удаленный файл, требующий аутентификации. В этот момент, когда вы попытаетесь получить удаленный доступ к этому файлу, он автоматически попытается войти в систему, отправив хэш NTLM и имя пользователя учетной записи Windows.
В этой ситуации решение, рекомендованное обнаружившим угрозу, состоит в том, чтобы не загружать и не устанавливать файлы с этими расширениями, особенно когда они приходят с ненадежных сайтов. Другая, более крайняя мера включает в себя блокировку всех файлов с расширениями .theme, .themepack. и .desktopthemepackfile, но таким образом мы не сможем менять темы на нашем компьютере.
Через | Пищит компьютер
