Ei detectează o amenințare care folosește teme „pregătite” în Windows pentru a fura parolele de acces ale computerului nostru
Cuprins:
A putea schimba aspectul echipamentului nostru este unul dintre aspectele pe care utilizatorii le plac cel mai mult. Schimbarea aspectului desktopului este la fel de ușor ca descărcarea și aplicarea unei teme. Și, de fapt, aici am văzut temele și design-urile pe care, de exemplu, Microsoft le-a lansat periodic în magazinul său de aplicații.
"Temele și pachetele de teme Windows 10 oferă un număr mare de opțiuni și aproape toate sunt sigure, în special cele lansate de Microsoft.Și ne referim la asta aproape toate când vorbim despre securitate, datorită descoperirii unui cercetător care a găsit teme special concepute pentru a ne fura parolele "
Atacuri de tip hash
Temele permit să schimbe aproape orice aspect al desktopului nostru Culorile, fundalurile, pictogramele, cursorul... aproape totul poate fi modificat prin teme care sunt descărcate sau pe care le personalizăm noi înșine. Temele creează o configurație care este stocată în calea AppData%\Microsoft\Windows\Themes ca fișier cu extensia .theme.
"Rezultatul, fișierul cu extensia .theme, poate fi partajat cu alți utilizatori și aici se află problema descoperită de cercetătorul @bohops pe contul său de Twitter. Teme special ambalate pentru a efectua un atac Pass-the-Hash (PtH) asupra computerelor noastre."
Atacuri ușor de efectuat și atât de mult încât la Bleeping Computer au urmat această metodă și au reușit să obțină parola fără alte complicații.
Un tip de atac care urmărește să fura acreditări pentru a obține acces la alte componente ale sistemului cu scopul de a obține controlul total asupra acesta și accesul la toate tipurile de informații pe care le stocăm și care circulă prin sistemul de operare.
Atacatorul încearcă să acceseze și să obțină acreditările de conectare pe computer pentru ca, odată realizat, să se poată identifica pe alte computere conectate la rețea. Este vorba de accesarea valorilor hash ale parolei și în acest fel de a putea accesa tot felul de servicii. În acest caz, nu este vorba de accesarea parolei în text simplu, ci mai degrabă de hash-ul NTLM, care face atacul mai ușor de efectuat.
În acest caz, acest fișier .temă modificat este să schimbe setările, astfel încât tema trebuie să caute o resursă sau o fișier la distanță care necesită autentificare. În acel moment, când încercați să accesați acel fișier de la distanță, va încerca automat să vă autentificați trimițând codul hash NTLM și numele de utilizator al contului Windows.
În această situație, soluția recomandată de descoperitorul amenințării este să nu descărcați sau instalați fișiere cu aceste extensii, mai ales când provin de pe site-uri nedemne de încredere. O altă măsură, mai extremă, implică blocarea tuturor extensiilor de fișiere .theme, .themepack. și .desktopthemepackfile, dar în acest fel nu vom putea schimba temele de pe computerul nostru.
Via | Bleeping Computer
