Те откриват заплаха, която използва "подготвени" теми в Windows, за да открадне паролите за достъп на нашия компютър
Съдържание:
Възможността да променяме външния вид на нашето оборудване е един от аспектите, които потребителите харесват най-много. Промяната на оформлението на вашия работен плот е толкова лесно, колкото изтеглянето и прилагането на тема. И всъщност тук видяхме темите и дизайните, които например Microsoft пуска периодично в своя магазин за приложения.
"Темите и пакетите с теми за Windows 10 предлагат голям брой опции и почти всички са безопасни, особено пуснатите от Microsoft.И почти всички се позоваваме на това, когато говорим за сигурност, поради откритието на изследовател, който е открил специално проектирани теми за кражба на нашите пароли "
Pass-the-Hash Attacks
Темите позволяват да промените почти всеки аспект на нашия работен плот Цветове, фонове, икони, курсор... почти всичко може да бъде модифицирано от теми, които се изтеглят или персонализираме сами. Темите създават конфигурация, която се съхранява в пътя AppData%\Microsoft\Windows\Themes като файл с разширение .theme.
"Резултатът, файлът с разширение .theme, може да бъде споделен с други потребители и тук се крие проблемът, открит от изследователя @bohops в неговия Twitter акаунт. Теми, специално пакетирани за извършване на Pass-the-Hash (PtH) атака на нашите компютри."
Лесни атаки за извършване и толкова много, че в Bleeping Computer са следвали този метод и са успели да получат паролата без допълнителни усложнения.
Вид атака, която се стреми да открадне идентификационни данни, за да получи достъп до други системни компоненти с цел придобиване на пълен контрол над и достъп до всички видове информация, която съхраняваме и която циркулира през операционната система.
Атакуващият се опитва да осъществи достъп и да получи идентификационните данни за влизане на компютъра, така че, след като бъде постигнат, да може да се идентифицира на други компютри, свързани към мрежата. Става дума за достъп до хеш стойностите на паролата и по този начин да имате достъп до всички видове услуги. В случая не става въпрос за достъп до паролата в обикновен текст, а по-скоро за NTLM хеша, което прави атаката по-лесна за изпълнение.
В този случай този модифициран .theme файл прави промяна на настройките, така че темата да търси ресурс или отдалечен файл, който изисква удостоверяване. В този момент, когато се опитате да получите отдалечен достъп до този файл, той автоматично ще се опита да влезе, като изпрати NTLM хеш и потребителското име на акаунта в Windows.
В тази ситуация решението, препоръчано от откривателя на заплахата, е не изтегляйте и не инсталирайте файлове с тези разширения, особено когато идват от ненадеждни сайтове. Друга, по-екстремна мярка включва блокиране на всички файлови разширения .theme, .themepack. и .desktopthemepackfile, но по този начин няма да можем да променим темите на нашия компютър.
През | Блеещ компютър
