Otkrivaju prijetnju koja koristi "pripremljene" teme u Windowsima kako bi ukrala pristupne lozinke našem računalu
Sadržaj:
Mogućnost mijenjanja izgleda naše opreme jedan je od aspekata koji se korisnicima najviše sviđa. Promjena izgleda radne površine jednostavna je poput preuzimanja i primjene teme. I zapravo, ovdje smo vidjeli teme i dizajne koje, na primjer, Microsoft povremeno pokreće u svojoj trgovini aplikacija.
"Teme i paketi tema za Windows 10 nude velik broj opcija i gotovo sve su sigurne, osobito one koje je izdao Microsoft.I to gotovo sve spominjemo kada govorimo o sigurnosti, zbog otkrića istraživača koji je pronašao posebno dizajnirane teme za krađu naših lozinki "
Pass-the-Hash napadi
Teme omogućuju promjenu gotovo bilo kojeg aspekta naše radne površine Boje, pozadine, ikone, kursor... gotovo sve se može mijenjati teme koje se preuzimaju ili koje sami prilagođavamo. Teme stvaraju konfiguraciju koja je pohranjena u stazi AppData%\Microsoft\Windows\Themes kao datoteka s nastavkom .theme.
"Rezultat, datoteka s nastavkom .theme, može se dijeliti s drugim korisnicima i tu leži problem koji je otkrio istraživač @bohops na svom Twitter računu. Teme posebno pakirane za izvođenje Pass-the-Hash (PtH) napada na naša računala."
Napade je lako izvesti i to toliko da su u Bleeping Computeru slijedili ovu metodu i uspjeli dobiti lozinku bez daljnjih komplikacija.
Vrsta napada koji nastoji ukrasti vjerodajnice kako bi se dobio pristup drugim komponentama sustava s ciljem stjecanja potpune kontrole nad to i pristup svim vrstama informacija koje pohranjujemo i koje kruže operativnim sustavom.
Napadač pokušava pristupiti i dobiti vjerodajnice za prijavu na računalu kako bi se, nakon što to postigne, mogao identificirati na drugim računalima povezanim na mrežu. Radi se o pristupu hash vrijednostima lozinke i na taj način biti u mogućnosti pristupiti svim vrstama usluga. U ovom slučaju nije riječ o pristupu lozinci u običnom tekstu, već o NTLM hash-u, što olakšava izvođenje napada.
U ovom slučaju, ova modificirana datoteka .theme mijenja postavke tako da tema mora tražiti izvor ili udaljenu datoteku koja zahtijeva provjeru autentičnosti. U tom trenutku kada pokušate udaljeno pristupiti toj datoteci, ona će se automatski pokušati prijaviti slanjem NTLM hash oznake i korisničkog imena Windows računa.
U ovoj situaciji, rješenje koje preporučuje otkrivač prijetnje je ne preuzimati niti instalirati datoteke s ovim ekstenzijama, posebno kada dolaze s nepouzdanih stranica. Druga, ekstremnija mjera uključuje blokiranje svih ekstenzija datoteka .theme, .themepack. i .desktopthemepackfile, ali na taj način nećemo moći mijenjati teme na našem računalu.
Preko | Blještavo računalo
