Họ phát hiện một mối đe dọa sử dụng các chủ đề "chuẩn bị sẵn" trong Windows để đánh cắp mật khẩu truy cập vào máy tính của chúng tôi

Có thể thay đổi diện mạo của thiết bị là một trong những khía cạnh mà người dùng thích nhất. Thay đổi bố cục màn hình nền dễ dàng như tải xuống và áp dụng một chủ đề. Và trên thực tế, ở đây chúng ta đã thấy các chủ đề và thiết kế, chẳng hạn như Microsoft đã tung ra định kỳ trong cửa hàng ứng dụng của mình.

"

Các chủ đề và gói chủ đề của Windows 10 cung cấp nhiều tùy chọn và hầu như tất cả chúng đều an toàn, đặc biệt là những tùy chọn do Microsoft phát hành.Và chúng tôi đề cập đến điều đó gần như tất cả khi nói về bảo mật, do khám phá của một nhà nghiên cứu đã tìm thấy các chủ đề được thiết kế đặc biệt để đánh cắp mật khẩu của chúng tôi "

Pass-the-Hash Attacks

Chủ đề cho phép thay đổi hầu hết mọi khía cạnh của màn hình nền Màu sắc, hình nền, biểu tượng, con trỏ... hầu hết mọi thứ đều có thể được sửa đổi bởi các chủ đề được tải xuống hoặc chúng tôi tự tùy chỉnh. Chủ đề tạo cấu hình được lưu trữ trong đường dẫn AppData%\Microsoft\Windows\Themes dưới dạng tệp có phần mở rộng .theme.

"

Kết quả là tệp có phần mở rộng .theme có thể được chia sẻ với những người dùng khác và đây chính là nguyên nhân khiến nhà nghiên cứu @bohops phát hiện ra vấn đề trên tài khoản Twitter của anh ấy. Các chủ đề được đóng gói đặc biệt để thực hiện tấn công Pass-the-Hash (PtH) trên máy tính của chúng tôi."

Các cuộc tấn công dễ thực hiện và nhiều đến mức tại Bleeping Computer, họ đã làm theo phương pháp này và lấy được mật khẩu mà không gặp thêm rắc rối nào.

Một kiểu tấn công tìm cách đánh cắp thông tin đăng nhập để có quyền truy cập vào các thành phần hệ thống khác với mục đích giành toàn quyền kiểm soát nó và truy cập vào tất cả các loại thông tin mà chúng tôi lưu trữ và lưu thông qua hệ điều hành.

Kẻ tấn công cố gắng truy cập và lấy thông tin xác thực đăng nhập trên máy tính để sau khi đạt được, hắn có thể nhận dạng chính mình trên các máy tính khác được kết nối với mạng. Đó là vấn đề truy cập các giá trị băm của mật khẩu và bằng cách này có thể truy cập tất cả các loại dịch vụ. Trong trường hợp này, vấn đề không phải là truy cập mật khẩu ở dạng văn bản thuần túy, mà là hàm băm NTLM, giúp cuộc tấn công dễ dàng thực hiện hơn.

Trong trường hợp này, tệp .theme đã sửa đổi này làm thay đổi cài đặt để chủ đề phải tìm kiếm tài nguyên hoặc tệp từ xa yêu cầu xác thực. Tại thời điểm đó, khi bạn cố gắng truy cập tệp đó từ xa, nó sẽ tự động thử đăng nhập bằng cách gửi hàm băm NTLM và tên người dùng tài khoản Windows.

Trong tình huống này, giải pháp được người phát hiện ra mối đe dọa khuyến nghị là không tải xuống hoặc cài đặt các tệp có các phần mở rộng này, đặc biệt là khi Họ đến từ các trang web không đáng tin cậy. Một biện pháp khác, cực đoan hơn, liên quan đến việc chặn tất cả các phần mở rộng tệp .theme, .themepack. và .desktopthemepackfile, nhưng theo cách này, chúng tôi sẽ không thể thay đổi chủ đề trên máy tính của mình.

Via | Máy tính đang ngủ