Uusi tutkijan löytö Jimmy Bayne , joka on paljastanut sen Twitterissä, paljastaa Windows 10: n teemamoottorin haavoittuvuuden, jota voidaan käyttää käyttäjien tunnistetietojen varastamiseen. Erityinen väärin muotoiltu teema, kun se avataan, ohjaa käyttäjät sivulle, joka kehottaa käyttäjiä syöttämään tunnistetietonsa.
Mainonta
miten voin poistaa estetyn numeron eston
Kuten ehkä jo tiedät, Windows sallii teemojen jakamisen kohdassa Asetukset. Tämä voidaan tehdä avaamalla Asetukset> Mukauttaminen> Teemat ja valitsemalla sitten 'Tallenna teema jakamista varten
'valikosta. Tämä luo uuden *.deskthemepack-tiedosto
jonka käyttäjä voi ladata Internetiin, lähettää sähköpostitse tai jakaa muiden kanssa useilla tavoilla. Muut käyttäjät voivat ladata tällaiset tiedostot ja asentaa sen yhdellä napsautuksella.
Hyökkääjä voi samalla tavoin luoda .theme-tiedoston, jossa taustakuvan oletusasetus osoittaa verkkosivustoa, joka vaatii todennuksen. Kun epäilyttävät käyttäjät syöttävät tunnistetietonsa, NTLM-hajautus yksityiskohdista lähetetään sivustolle todennusta varten. Ei-monimutkaiset salasanat muretaan sitten avaamalla erityinen hajautusohjelmisto.
[Credential Harvesting Trick] Käyttämällä Windows .theme-tiedostoa Taustakuva-avain voidaan määrittää osoittamaan etäautentointiin vaadittavaa http / s-resurssia. Kun käyttäjä aktivoi teematiedoston (esim. Avattu linkistä / liitteestä), käyttäjälle näytetään Windows-luottokehote.
Mitä ovat * .theme-tiedostot?
Teknisesti * .theme-tiedostot ovat * .ini-tiedostoja, jotka sisältävät useita osioita, jotka Windows lukee, ja muuttaa käyttöjärjestelmän ulkonäköä löytämiensä ohjeiden mukaisesti. Teematiedosto määrittää korostusvärin, käytettävät taustakuvat ja muutaman muun vaihtoehdon.
kuinka muuttaa nimesi lumimyrskyssä
Yksi sen osista näyttää seuraavalta.
[Ohjauspaneeli Työpöytä]
Taustakuva =% WinDir% web wallpaper Windows img0.jpg
Se määrittää oletustapetin, jota käytetään, kun käyttäjä asentaa teeman. Paikallisen polun sijasta, osoittaa tutkija, se voidaan asettaa etäresurssille, jota voidaan käyttää saamaan käyttäjä syöttämään tunnistetietonsa. Taustakuva-avain sijaitsee .theme-tiedoston Ohjauspaneeli työpöytä -osiossa. Muita avaimia voidaan mahdollisesti käyttää samalla tavalla, ja tämä voi toimia myös netNTLM-hash-paljastuksessa, kun ne asetetaan etätiedostojen sijainteihin, sanoo Jimmy Bayne.
Tutkija tarjoaa menetelmä ongelman lieventämiseksi.
Puolustuksen näkökulmasta estä / yhdistä uudelleen / etsi 'teema', 'themepack', 'desktopthemepackfile' laajennuksia. Selaimissa käyttäjille on esitettävä tarkistus ennen avaamista. Muita CVE-häpyjä on paljastettu viime vuosina, joten kannattaa puuttua niihin ja lieventää niitä
Lähde: Neowin