Темы Windows 10 могут использоваться для кражи учетных данных в операционной системе

Дата: 07.09.2020. Автор: Артем П. Категории: Новости по информационной безопасности

Специально созданные темы и комплекты тем для Windows 10 могут применяться в кибератаках типа «Pass-the-Hash» для кражи учетных данных Windows у ничего не подозревающих пользователей.

В Windows 10 предусмотрена возможность для пользователей создавать собственные темы, содержащие индивидуальные цвета, звуки, курсоры мыши и обои, которые будет использовать операционная система для оформления:

Все настройки выбранной темы сохранены в папке %AppData%\Microsoft\Windows\Themes в виде файла с расширением .theme (к примеру, Custom Dark.theme):

Созданными темами можно поделиться с другими пользователями. Для этого надо щелкнуть правой кнопкой мыши на выбранную тему и выбрать пункт «Сохранить тему для совместного использования», в результате чего тема будет упакована в файл .deskthemepack. Эти запакованные темы для рабочего стола можно затем отправить по электронной почте или загрузить на веб-сайтах.

6 сентября специалист по кибербезопасности Джимми Бэйн обнаружил, что специально созданные темы Windows могут использоваться для проведения кибератак Pass-the-Hash. Такие атаки применяются для кражи логинов пользователей Windows и хэшированных паролей за счет обмана пользователя для получения доступа к удаленному общему ресурсу SMB, который требует аутентификации.

При попытке получить доступ к удаленному ресурсу Windows автоматически попытается войти в удаленную систему, отправив имя пользователя Windows для входа и NTLM-хэш его пароля. При атаке Pass-the-Hash отправленные учетные данные собираются киберпреступниками, которые затем пытаются расшифровать пароль для доступа к имени пользователя и паролю посетителей.

В новом способе, обнаруженном Джимми Бэйном, киберпреступник может создать специальный файл .theme и изменить настройку обоев рабочего стола, чтобы использовать ресурс, требующий удаленной аутентификации, как показано ниже:

Когда Windows пытается получить доступ к ресурсу, требующему удаленной проверки подлинности, он автоматически пытается войти в общий ресурс, отправив хэш NTLM и имя входа для пользователя, вошедшего в учетную запись:

Затем киберпреступник может собрать учетные данные и расшифровать пароль с помощью специальных скриптов, чтобы получить его в текстовой форме:

Поскольку Microsoft переходит от локальных учетных записей Windows 10 к онлайн-аккаунтам сети Microsoft, хакеры могут использовать эту кибератаку для получения легкого доступа к множеству удаленных служб, предлагаемых корпорацией (возможность удаленного доступа к электронной почте, Azure или доступным корпоративным сетям).

Для обеспечения защиты от вредоносных файлов тем Джимми Бейн посоветовал заблокировать или повторно связать расширения .theme, .themepack и .desktopthemepackfile с другой программой:

Однако это нарушит работу функции тем в Windows 10, поэтому используйте метод только в том случае, если вам не нужно переключаться на другую тему.

Также есть возможность настроить групповую политику с именем «Сетевая безопасность: ограничить NTLM: исходящий трафик NTLM на удаленные серверы» и установить для нее значение «Запретить все», чтобы учетные данные NTLM не отправлялись на удаленные узлы:

Но отмечается, что настройка этого параметра может вызвать проблемы в корпоративных средах, использующих удаленные общие ресурсы.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *