Сообщается, что пользовательские темы могут использоваться для кражи учетных данных пользователя Windows 10.

Новое открытие исследователя безопасности Джимми Бэйна , которое опубликовало его в Twitter, раскрывает уязвимость в движке тем Windows 10. которые можно использовать для кражи учетных данных пользователей. Специальная искаженная тема при открытии перенаправляет пользователей на страницу, предлагающую пользователям ввести свои учетные данные.

Как вы, возможно, уже знаете, Windows позволяет делиться темами в Настройках. Это можно сделать, открыв «Настройки»> «Персонализация»> «Темы», а затем выбрав « Сохранить тему для совместного использования » в меню. Это создаст новый файл * .deskthemepack , который пользователь может загрузить в Интернет, отправить по электронной почте или поделиться с другими различными способами. Другие пользователи могут загрузить такие файлы и установить их одним щелчком мыши.

Злоумышленник может аналогичным образом создать файл «.theme», в котором настройки обоев по умолчанию указывают на веб-сайт, требующий аутентификации. Когда ничего не подозревающие пользователи вводят свои учетные данные, на сайт для аутентификации отправляется NTLM-хэш данных. Затем несложные пароли взламываются с помощью специального программного обеспечения для де-хеширования.

[Уловка сбора учетных данных] Используя файл .theme Windows, можно настроить клавишу обоев так, чтобы она указывала на ресурс http/s, требующий удаленной аутентификации. Когда пользователь активирует файл темы (например, открывается по ссылке/вложению), пользователю отображается запрос Windows.

Что такое файлы * .theme?

Технически файлы * .theme представляют собой файлы * .ini, которые включают ряд разделов, которые Windows читает и изменяет внешний вид ОС в соответствии с найденными инструкциями. В файле темы указывается цвет акцента, применяемые обои и несколько других параметров.

Один из его разделов выглядит следующим образом.

  [  Панель управления  Рабочий стол]   Wallpaper =% WinDir%  web  wallpaper  Windows  img0.jpg  

Указывает значение по умолчанию обои применяются, когда пользователь устанавливает тему. Вместо локального пути, указывает исследователь, он может быть установлен на удаленный ресурс, который можно использовать, чтобы заставить пользователя ввести свои учетные данные.

Клавиша обоев находится в разделе «Панель управления Рабочий стол» файла. файл темы. По словам Джимми Бэйна, другие ключи могут использоваться таким же образом, и это также может работать для раскрытия хэша netNTLM, когда оно установлено для удаленных местоположений файлов.

Исследователь предоставляет метод для смягчения проблемы.

С точки зрения защиты, блокируйте/повторно связывайте/ищите “тему” “,” themepack “,” desktopthemepackfile “расширения. В браузерах перед открытием пользователям следует поставить чек.. Другие уязвимости CVE были раскрыты в последние годы, поэтому их стоит устранить и смягчить

Источник: Neowin

Оцените статью
digitdocom.ru
Добавить комментарий