Новое открытие исследователя безопасности Джимми Бэйн , который сообщил об этом в Твиттере, раскрывает уязвимость в движке тем Windows 10, которую можно использовать для кражи учетных данных пользователей. Специальная неверно сформированная тема при открытии перенаправляет пользователей на страницу, предлагающую пользователям ввести свои учетные данные.
Реклама
получает ли amazon fire stick местные каналы?
Как вы уже знаете, Windows позволяет делиться темами в настройках. Это можно сделать, открыв «Настройки»> «Персонализация»> «Темы», а затем выбрав «Сохранить тему для публикации
'из меню. Это создаст новый *.deskthemepack файл
которые пользователь может загружать в Интернет, отправлять по электронной почте или делиться с другими различными способами. Другие пользователи могут загрузить такие файлы и установить их одним щелчком мыши.
Аналогичным образом злоумышленник может создать файл «.theme», в котором настройки обоев по умолчанию указывают на веб-сайт, требующий аутентификации. Когда ничего не подозревающие пользователи вводят свои учетные данные, на сайт для аутентификации отправляется NTLM-хэш данных. Затем несложные пароли взламываются с помощью специального программного обеспечения для де-хеширования.
[Уловка сбора учетных данных] Используя файл .theme Windows, можно настроить клавишу обоев для указания на ресурс http / s, требующий удаленной аутентификации. Когда пользователь активирует файл темы (например, открывается из ссылки / вложения), пользователю отображается запрос кредита Windows.
Что такое файлы * .theme?
Технически файлы * .theme - это файлы * .ini, которые включают ряд разделов, которые Windows читает и изменяет внешний вид ОС в соответствии с найденными инструкциями. В файле темы указывается цвет акцента, применяемые обои и несколько других параметров.
как удалить резервные копии с машины времени
Один из его разделов выглядит следующим образом.
[Панель управления Рабочий стол]
Обои =% WinDir% web wallpaper Windows img0.jpg
Он определяет обои по умолчанию, применяемые при установке темы пользователем. Вместо локального пути, указывает исследователь, он может быть установлен на удаленный ресурс, который можно использовать, чтобы заставить пользователя ввести свои учетные данные. Клавиша обоев находится в разделе «Панель управления Рабочий стол» файла .theme. По словам Джимми Бэйна, другие ключи могут использоваться таким же образом, и это также может работать для раскрытия хэша netNTLM, когда он установлен для удаленных местоположений файлов.
Исследователь предоставляет способ смягчить проблему.
С защитной точки зрения блокируйте / повторно связывайте / ищите расширения «тема», «пакет тем», «настольный файл». В браузерах перед открытием пользователям должен быть выставлен чек. Другие уязвимости CVE были раскрыты в последние годы, поэтому стоит обратить внимание и смягчить их
Источник: Neowin