Εντοπίζουν μια απειλή που χρησιμοποιεί "έτοιμα" θέματα στα Windows για να κλέψει τους κωδικούς πρόσβασης του υπολογιστή μας

Το να μπορούμε να αλλάξουμε την εμφάνιση του εξοπλισμού μας είναι μια από τις πτυχές που αρέσουν περισσότερο στους χρήστες. Η αλλαγή της διάταξης της επιφάνειας εργασίας είναι τόσο εύκολη όσο η λήψη και η εφαρμογή ενός θέματος. Και μάλιστα, εδώ έχουμε δει τα θέματα και τα σχέδια που, για παράδειγμα, η Microsoft λανσάρει περιοδικά στο κατάστημα εφαρμογών της.

"

Τα θέματα και τα πακέτα θεμάτων των Windows 10 προσφέρουν μεγάλο αριθμό επιλογών και σχεδόν όλα είναι ασφαλή, ειδικά αυτά που κυκλοφορούν από τη Microsoft.Και αναφερόμαστε σχεδόν σε αυτό όταν μιλάμε για ασφάλεια, λόγω της ανακάλυψης ενός ερευνητή που βρήκε ειδικά σχεδιασμένα θέματα για να κλέψουν τους κωδικούς μας "

Pass-the-Hash Attacks

Τα θέματα επιτρέπουν στο να αλλάξει σχεδόν οποιαδήποτε πτυχή της επιφάνειας εργασίας μας Χρώματα, φόντο, εικονίδια, δρομέα... σχεδόν τα πάντα μπορούν να τροποποιηθούν με θέματα που κατεβαίνουν ή που προσαρμόζουμε μόνοι μας. Τα θέματα δημιουργούν μια διαμόρφωση που αποθηκεύεται στη διαδρομή AppData%\Microsoft\Windows\Themes ως αρχείο με επέκταση .theme.

"

Το αποτέλεσμα, το αρχείο με την επέκταση .theme, μπορεί να μοιραστεί με άλλους χρήστες και εδώ έγκειται το πρόβλημα που ανακάλυψε ο ερευνητής @bohops στον λογαριασμό του στο Twitter. Θέματα ειδικά συσκευασμένα για την εκτέλεση επίθεσης Pass-the-Hash (PtH) στους υπολογιστές μας."

Εύκολες επιθέσεις στην πραγματοποίηση και τόσο πολύ που στο Bleeping Computer ακολούθησαν αυτή τη μέθοδο και κατάφεραν να αποκτήσουν τον κωδικό πρόσβασης χωρίς περαιτέρω επιπλοκές.

Ένας τύπος επίθεσης που επιδιώκει να κλοπή διαπιστευτηρίων προκειμένου να αποκτήσει πρόσβαση σε άλλα στοιχεία του συστήματος με στόχο να αποκτήσει τον πλήρη έλεγχο του και πρόσβαση σε όλους τους τύπους πληροφοριών που αποθηκεύουμε και που κυκλοφορούν μέσω του λειτουργικού συστήματος.

Ο εισβολέας προσπαθεί να αποκτήσει πρόσβαση και να λάβει τα διαπιστευτήρια σύνδεσης στον υπολογιστή, έτσι ώστε, μόλις επιτευχθεί, να μπορεί να ταυτοποιηθεί σε άλλους υπολογιστές που είναι συνδεδεμένοι στο δίκτυο. Πρόκειται να αποκτήσετε πρόσβαση στις τιμές κατακερματισμού του κωδικού πρόσβασης και με αυτόν τον τρόπο να έχετε πρόσβαση σε όλα τα είδη υπηρεσιών. Σε αυτήν την περίπτωση, δεν πρόκειται για πρόσβαση στον κωδικό πρόσβασης σε απλό κείμενο, αλλά μάλλον για τον κατακερματισμό NTLM, που κάνει την επίθεση πιο εύκολη.

Σε αυτήν την περίπτωση, αυτό το τροποποιημένο αρχείο .theme αλλάζει τις ρυθμίσεις έτσι ώστε το θέμα πρέπει να αναζητήσει έναν πόρο ή ένα απομακρυσμένο αρχείο που απαιτεί έλεγχο ταυτότητας. Σε εκείνο το σημείο, όταν προσπαθείτε να αποκτήσετε πρόσβαση σε αυτό το αρχείο εξ αποστάσεως, θα προσπαθήσει αυτόματα να συνδεθεί στέλνοντας τον κατακερματισμό NTLM και το όνομα χρήστη του λογαριασμού Windows.

Σε αυτήν την περίπτωση, η λύση που προτείνει ο ανακάλυψε την απειλή είναι να να μην κάνετε λήψη ή εγκατάσταση αρχείων με αυτές τις επεκτάσεις, ειδικά όταν Προέρχονται από αναξιόπιστους ιστότοπους. Ένα άλλο, πιο ακραίο μέτρο περιλαμβάνει τον αποκλεισμό όλων των επεκτάσεων αρχείων .theme, .themepack. και .desktopthemepackfile, αλλά με αυτόν τον τρόπο δεν θα μπορούμε να αλλάξουμε τα θέματα στον υπολογιστή μας.

Μέσω | Υπολογιστής bleeping