安全研究员吉米·贝恩(Jimmy Bayne)在Twitter上分享的一项新发现指出,Windows 10主题设置存在漏洞,通过创建特定主题来实施“传递哈希”攻击,恶意演员可以窃取用户的凭据。能够安装与其他来源分离的主题的功能使攻击者可以创建恶意主题文件,这些恶意文件在打开时会将用户重定向到提示用户输入其凭据的页面。
Windows通过右键单击“个性化”>“主题”下的当前活动主题,然后单击“保存要共享的主题”,使用户可以通过“设置UI”共享主题。这将创建一个“ .deskthemepack”文件,以通过电子邮件或其他来源进行共享,然后可以下载并安装。攻击者可以类似地创建一个'.theme'文件,其中默认的墙纸设置指向需要身份验证的网站。当不小心的用户输入其凭据时,详细信息的NTLM哈希将发送到站点以进行身份验证。然后,使用特殊的散列软件将非复杂的密码破解。
研究人员提供的防止此类文件入侵的一种方法是查找并阻止诸如“ .theme”,“。themepack”和“ .desktopthemepackfile”的扩展名。此外,BleepingComputer通过组策略列出了一些替代方法,这些策略限制将NTLM哈希凭证发送到远程主机。但是,该出版物警告说,这样做可能会干扰需要此功能进行身份验证的企业设置。
Bayne补充说,这些发现已披露给Microsoft安全响应中心(MSRC)。但是,该bug据说没有得到修复,因为它是“设计特性”。目前尚不清楚该公司是否计划在此披露后修复该错误,或者是否调整了主题的文件结构以防止不良行为者利用它指向需要身份验证的站点。
考虑到大多数用户已登录其Microsoft在Windows 10中使用Windows帐户时,凭据的盗用也使用户的链接数据(例如电子邮件,OneDrive甚至Azure数据)面临风险。用户最好始终启用两因素身份验证作为帐户安全性的主要形式。