新發(fā)現(xiàn)稱(chēng)自定義win10主題可用于竊取用戶(hù)憑據(jù)

安全研究員吉米•貝恩(Jimmy Bayne)在Twitter上分享的一項(xiàng)新發(fā)現(xiàn)指出，win10系統(tǒng)主題設(shè)置存在漏洞，通過(guò)創(chuàng)建特定主題來(lái)實(shí)施“傳遞哈希”攻擊，惡意演員可以竊取用戶(hù)的憑據(jù)。能夠安裝與其他來(lái)源分離的主題的功能使攻擊者可以創(chuàng)建惡意主題文件，這些惡意文件在打開(kāi)時(shí)會(huì)將用戶(hù)重定向到提示用戶(hù)輸入其憑據(jù)的頁(yè)面。

Windows通過(guò)右鍵單擊“個(gè)性化”“主題”下的當(dāng)前活動(dòng)主題，然后單擊“保存要共享的主題”，使用戶(hù)可以通過(guò)“設(shè)置UI”共享主題。這將創(chuàng)建一個(gè)“ .deskthemepack”文件，以通過(guò)電子郵件或其他來(lái)源進(jìn)行共享，然后可以下載并安裝。攻擊者可以類(lèi)似地創(chuàng)建一個(gè)'.theme'文件，其中默認(rèn)的墻紙?jiān)O(shè)置指向需要身份驗(yàn)證的網(wǎng)站。當(dāng)不小心的用戶(hù)輸入其憑據(jù)時(shí)，詳細(xì)信息的NTLM哈希將發(fā)送到站點(diǎn)以進(jìn)行身份驗(yàn)證。然后使用特殊的散列軟件將非復(fù)雜的密碼破解。

研究人員提供的防止此類(lèi)文件入侵的一種方法是查找并阻止諸如“ .theme”，“。themepack”和“ .desktopthemepackfile”之類(lèi)的擴(kuò)展名。此外，BleepingComputer通過(guò)組策略列出了一些替代方法，這些策略限制將NTLM哈希憑證發(fā)送到遠(yuǎn)程主機(jī)。但是，該出版物警告說(shuō)，這樣做可能會(huì)干擾需要此功能進(jìn)行身份驗(yàn)證的企業(yè)設(shè)置。

Bayne補(bǔ)充說(shuō)，這些發(fā)現(xiàn)已披露給Microsoft安全響應(yīng)中心(MSRC)。但是，該bug據(jù)說(shuō)沒(méi)有得到修復(fù)，因?yàn)樗?ldquo;設(shè)計(jì)特性”。目前尚不清楚該公司是否計(jì)劃在此披露后修復(fù)該錯(cuò)誤，或者是否調(diào)整了主題的文件結(jié)構(gòu)以防止不良行為者利用它指向需要身份驗(yàn)證的站點(diǎn)。

考慮到大多數(shù)用戶(hù)已登錄其Microsoft在win10系統(tǒng)中使用Windows帳戶(hù)時(shí)，憑據(jù)的盜用也使用戶(hù)的鏈接數(shù)據(jù)(例如電子郵件，OneDrive甚至Azure數(shù)據(jù))面臨風(fēng)險(xiǎn)。用戶(hù)最好始終啟用兩因素身份驗(yàn)證作為帳戶(hù)安全性的主要形式