Eine neue Erkenntnis des Sicherheitsforschers Jimmy Bayne , der es auf Twitter enthüllt hat, enthüllt eine Sicherheitslücke in der Windows 10-Themes-Engine, mit der Benutzeranmeldeinformationen gestohlen werden können. Ein spezielles fehlerhaftes Thema leitet Benutzer beim Öffnen auf eine Seite weiter, auf der Benutzer aufgefordert werden, ihre Anmeldeinformationen einzugeben.
Werbung
So fügen Sie Personen zu Apex-Legenden hinzu
Wie Sie vielleicht bereits wissen, Windows ermöglicht das Teilen von Themen in den Einstellungen. Öffnen Sie dazu Einstellungen> Personalisierung> Themen und wählen Sie dann 'Thema zum Teilen speichern'aus dem Menü. Dadurch wird ein neues * erstellt.deskthemepack-Dateidass der Benutzer ins Internet hochladen, per E-Mail senden oder über verschiedene Methoden mit anderen teilen kann. Andere Benutzer können solche Dateien herunterladen und mit einem Klick installieren.
Ein Angreifer kann auf ähnliche Weise eine '.theme' -Datei erstellen, in der die Standardeinstellung für das Hintergrundbild auf eine Website verweist, für die eine Authentifizierung erforderlich ist. Wenn ahnungslose Benutzer ihre Anmeldeinformationen eingeben, wird ein NTLM-Hash der Details zur Authentifizierung an die Site gesendet. Nicht komplexe Passwörter werden dann mit einer speziellen De-Hashing-Software aufgebrochen.
[Trick zum Ernten von Anmeldeinformationen] Mithilfe einer Windows .theme-Datei kann der Hintergrundbildschlüssel so konfiguriert werden, dass er auf eine für die Remoteauthentifizierung erforderliche http / s-Ressource verweist. Wenn ein Benutzer die Themendatei aktiviert (z. B. über einen Link / Anhang geöffnet), wird dem Benutzer eine Windows-Eingabeaufforderung angezeigt.
Was sind * .theme-Dateien?
Technisch gesehen sind * .theme-Dateien * .ini-Dateien, die eine Reihe von Abschnitten enthalten, die Windows liest und das Erscheinungsbild des Betriebssystems gemäß den gefundenen Anweisungen ändert. Die Themendatei gibt die Akzentfarbe, die anzuwendenden Hintergrundbilder und einige andere Optionen an.
Kannst du Roblox auf einem Chromebook spielen?
Einer seiner Abschnitte sieht wie folgt aus.
[Systemsteuerung Desktop] Hintergrundbild =% WinDir% web wallpaper Windows img0.jpg
Der Hintergrundbildschlüssel befindet sich im Abschnitt 'Systemsteuerung Desktop' der .theme-Datei. Andere Schlüssel können möglicherweise auf die gleiche Weise verwendet werden, und dies kann auch für die Offenlegung von netNTLM-Hashs funktionieren, wenn sie für entfernte Dateispeicherorte festgelegt sind, sagt Jimmy Bayne.
Der Forscher bietet eine Methode zur Minderung des Problems.
Blockieren / verknüpfen / suchen Sie aus defensiver Sicht nach den Erweiterungen 'Thema', 'Themenpaket' und 'Desktop-Paketdatei'. In Browsern sollten Benutzer vor dem Öffnen einen Scheck erhalten. Andere CVE-Vulns wurden in den letzten Jahren offenbart, daher lohnt es sich, sie anzusprechen und zu mildern
Quelle: Neowin
