Пользовательские темы Windows 10 могут использоваться для кражи учетных данных
Исследователь Джимми Бэйн (Jimmy Bayne), работающий в сфере информационной безопасности, обнаружил лазейку в настройках тем оформления Windows 10, которая может использоваться злоумышленниками для кражи учетных данных ОС. Для этого необходимо создать особым образом сконфигурированную тему, которая позволит провести атаку типа Pass-the-hash.
Операционная система Windows позволяет создавать собственные темы оформления и обмениваться ими через интерфейс настроек. Когда пользователь сохраняет тему, создается файл с расширением ".theme". Если же он решит поделиться с кем-либо своей темой, то она будет упакована в файл с расширением ".deskthemepack", который можно передать по электронной почте или каким-то иным способом.
Аналогичным образом злоумышленники могут создавать файлы ".theme", при открытии которых пользователи будут перенаправляться на веб-сайт, требующий аутентификации. Когда пользователи вводят свои данные, на сайт отправляется NTLM-хеш. Из него с помощью специального программного обеспечения могут быть извлечены пользовательские учетные данные.
Один из способов защиты от подобных атак заключается в поиске и блокировке файлов с расширениями ".theme", ".themepack" и ".desktopthemepackfile". Кроме того, с помощью групповых политик можно ограничить отправку хешированных учетных данных NTLM на удаленные узлы.
Исследователь отмечает, что он сообщил в Microsoft об обнаруженной проблеме, но разработчики все еще ее не устранили. Представители Microsoft пока никак не комментируют данный вопрос.
