新發(fā)現(xiàn)稱自定義win10主題可用于竊取用戶憑據(jù)

安全研究員吉米•貝恩(Jimmy Bayne)在Twitter上分享的一項新發(fā)現(xiàn)指出，win10系統(tǒng)主題設(shè)置存在漏洞，通過創(chuàng)建特定主題來實施“傳遞哈希”攻擊，惡意演員可以竊取用戶的憑據(jù)。能夠安裝與其他來源分離的主題的功能使攻擊者可以創(chuàng)建惡意主題文件，這些惡意文件在打開時會將用戶重定向到提示用戶輸入其憑據(jù)的頁面。

Windows通過右鍵單擊“個性化”“主題”下的當(dāng)前活動主題，然后單擊“保存要共享的主題”，使用戶可以通過“設(shè)置UI”共享主題。這將創(chuàng)建一個“ .deskthemepack”文件，以通過電子郵件或其他來源進行共享，然后可以下載并安裝。攻擊者可以類似地創(chuàng)建一個'.theme'文件，其中默認(rèn)的墻紙設(shè)置指向需要身份驗證的網(wǎng)站。當(dāng)不小心的用戶輸入其憑據(jù)時，詳細信息的NTLM哈希將發(fā)送到站點以進行身份驗證。然后使用特殊的散列軟件將非復(fù)雜的密碼破解。

研究人員提供的防止此類文件入侵的一種方法是查找并阻止諸如“ .theme”，“。themepack”和“ .desktopthemepackfile”之類的擴展名。此外，BleepingComputer通過組策略列出了一些替代方法，這些策略限制將NTLM哈希憑證發(fā)送到遠程主機。但是，該出版物警告說，這樣做可能會干擾需要此功能進行身份驗證的企業(yè)設(shè)置。

Bayne補充說，這些發(fā)現(xiàn)已披露給Microsoft安全響應(yīng)中心(MSRC)。但是，該bug據(jù)說沒有得到修復(fù)，因為它是“設(shè)計特性”。目前尚不清楚該公司是否計劃在此披露后修復(fù)該錯誤，或者是否調(diào)整了主題的文件結(jié)構(gòu)以防止不良行為者利用它指向需要身份驗證的站點。

考慮到大多數(shù)用戶已登錄其Microsoft在win10系統(tǒng)中使用Windows帳戶時，憑據(jù)的盜用也使用戶的鏈接數(shù)據(jù)(例如電子郵件，OneDrive甚至Azure數(shù)據(jù))面臨風(fēng)險。用戶最好始終啟用兩因素身份驗證作為帳戶安全性的主要形式