Исследователь компьютерной безопасности Джимми Бэйн рассказал в своём твиттере о необычной находке. Он обнаружил лазейку в настройке тем для Windows 10, которая позволяет злоумышленникам воровать учетные данные пользователей. Специально созданная вредоносная тема из сторонних источников может перенаправлять на страницу, предлагающую ввести свои учетные данные.
Windows позволяет пользователям обмениваться темами через интерфейс настроек, щелкнув правой кнопкой мыши активную тему в разделе «Персонализация» > «Темы», там нужно выбирать «Сохранить тему для совместного использования». После этих манипуляций создается файл «.deskthemepack» для отправки темы по электронной почте, в мессенджерах или соцсетях. Аналогичным образом злоумышленники могут создать файл «.theme», в котором настройки обоев по умолчанию указывают на веб-сайт, требующий аутентификации. Таким образом невнимательные пользователи вводят свои логины и пароли, а они затем отправляются на сайт в виде NTLM-хеша. Его в свою очередь взламывают с помощью специального программного обеспечения для де-хеширования.
[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q
— bohops (@bohops) September 5, 2020
Один из способов защиты от подобного рода атак — найти и заблокировать файлы с расширениями «.theme», «.themepack» и «.desktopthemepackfile». Также при помощи групповых политик имеется возможность ограничения отправки хешированных учётных данных NTLM на удалённые узлы.
По словам Джимми Бэйна, он сообщил в Microsoft об обнаруженной уязвимости, но разработчики до сих пор её не устранили. Эта проблема также ставит под угрозу другие данные пользователей связанные с учетной записью Windows, среди которых электронная почта, файлы в облаке OneDrive и облачная инфраструктура Azure. Рекомендуется активировать двухфакторную аутентификацию.