Ειδικά σχεδιασμένα θέματα για τα Windows 10 μπορούν να χρησιμοποιηθούν σε επιθέσεις “Pass-the-Hash” για να κλέψουν credentials από Windows λογαριασμούς ανυποψίαστων χρηστών.
Τα Windows επιτρέπουν στους χρήστες να δημιουργούν προσαρμοσμένα θέματα που περιέχουν χρώματα, ήχους, κέρσορες ποντικιού και την ταπετσαρία που θα χρησιμοποιεί το λειτουργικό σύστημα.
Οι χρήστες των Windows μπορούν στη συνέχεια να αλλάξουν θέματα, για να αλλάξουν την εμφάνιση του λειτουργικού συστήματος.
Οι ρυθμίσεις ενός θέματος αποθηκεύονται στο φάκελο %AppData% \ Microsoft \ Windows \ Themes, ως αρχείο με επέκταση .theme (π.χ. “Custom Dark.theme”).
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/264803/themata-windows-10-xrhsimopoioyntai-gia-kloph-credentials/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:2c1f8215101b9176e9b42865cd162f8c/https://www.secnews.gr/Windows-10.jpg&description=Ειδικά σχεδιασμένα θέματα για τα Windows 10 μπορούν να χρησιμοποιηθούν σε επιθέσεις "Pass-the-Hash" για να κλέψουν credentials από Windows){kind=link}
Τα θέματα των Windows μπορούν στη συνέχεια να κοινοποιηθούν σε άλλους χρήστες κάνοντας δεξί κλικ σε ένα ενεργό θέμα και επιλέγοντας “Αποθήκευση θέματος για κοινή χρήση”, το οποίο θα φτιάξει το θέμα σε αρχείο “.deskthemepack”.
Αυτά τα πακέτα desktop θεμάτων μπορούν στη συνέχεια να κοινοποιηθούν μέσω email ή ως λήψεις σε websites και να εγκατασταθούν κάνοντας διπλό κλικ σε αυτά.
Όμως, ο ερευνητής ασφαλείας Jimmy Bayne (@bohops) αποκάλυψε ότι ειδικά σχεδιασμένα θέματα Windows θα μπορούσαν να χρησιμοποιηθούν για την εκτέλεση επιθέσεων Pass-the-Hash.
Οι επιθέσεις Pass-the-Hash χρησιμοποιούνται για την κλοπή Windows credentials (login names και password hashes), ξεγελώντας τον χρήστη ώστε να συνδεθεί σε έναν απομακρυσμένο server διαμοιρασμού αρχείων, που χρειάζεται επιβεβαίωση στοιχείων εισόδου.
Κατά την απόκτηση πρόσβασης, τα Windows θα προσπαθήσουν αυτόματα να συνδεθούν στο απομακρυσμένο σύστημα στέλνοντας το login name του χρήστη και ένα NTLM hash του κωδικού πρόσβασης.
Σε μια επίθεση Pass-the-Hash, τα credentials που αποστέλλονται, συλλέγονται από τους hackers, οι οποίοι στη συνέχεια προσπαθούν να κάνουν dehash του κωδικού πρόσβασης για να αποκτήσουν πρόσβαση στο όνομα σύνδεσης και τον κωδικό πρόσβασης των χρηστών.
Το dehashing ενός εύκολου κωδικού πρόσβασης μπορεί να γίνει μέσα σε λίγα δευτερόλεπτα.
Στη νέα μέθοδο που ανακάλυψε ο Bayne, ένας επιτιθέμενος μπορεί να δημιουργήσει ένα ειδικά σχεδιασμένο αρχείο .theme και να αλλάξει τη ρύθμιση του desktop wallpaper για να χρησιμοποιήσει ένα σύστημα που απαιτεί απομακρυσμένο έλεγχο ταυτότητας.
Στη συνέχεια, στέλνονται τα στοιχεία του χρήστη, με τον τρόπο που περιγράφηκε παραπάνω. Ο εισβολέας μπορεί να συλλέξει τα credentials και να κάνει dehashing χρησιμοποιώντας ειδικά scripts.
Δεδομένου ότι η Microsoft απομακρύνεται από τους τοπικούς λογαριασμούς των Windows 10, οι απομακρυσμένοι εισβολείς μπορούν να χρησιμοποιήσουν αυτήν την επίθεση για να αποκτήσουν πιο εύκολα πρόσβαση σε χιλιάδες remote υπηρεσίες που προσφέρονται από τη Microsoft.
Αυτό περιλαμβάνει την πιθανή πρόσβαση σε email, Azure ή σε εταιρικά δίκτυα, από απόσταση.
Ο Bayne δήλωσε ότι αποκάλυψε αυτήν την επίθεση στη Microsoft νωρίτερα αυτό το έτος, αλλά του είπαν ότι δεν θα διορθωθεί, καθώς είναι “χαρακτηριστικό από το σχεδιασμό”.
Προστασία από κακόβουλα θέματα των Windows
O Bayne συνέστησε τον αποκλεισμό των επεκτάσεων: .theme, .themepack και .desktopthemepackfile. Ωστόσο, κάτι τέτοιο θα διακόψει τη λειτουργία “Θέματα των Windows 10“, οπότε οι χρήστες μπορούν να το κάνουν μόνο αν δεν χρειάζεται να μεταβούν σε άλλο θέμα.
Επίσης, οι χρήστες των Windows 10 μπορούν να χρησιμοποιήσουν το “Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers” και να το ορίσουν σε “Deny All” για να αποτρέψουν την αποστολή NTLM credentials σε απομακρυσμένα συστήματα.
Τέλος, η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων στα Microsoft accounts είναι μια καλή πρακτική για την αποτροπή της πρόσβασης τρίτων στο λογαριασμό.