站长之家(ChinaZ.com) 9月9日 消息:据国外科技媒体bleepingcomputer报道,Windows 10 的主题设置存在漏洞,攻击者可创建特定的主题来实施“哈希传递”(Pass-the-Hash)攻击,从而窃取Windows帐户凭证。
Windows允许用户创建包含自定义颜色、声音、鼠标指针和操作系统将使用的壁纸的自定义主题。用户根据需要在不同主题之间切换,以改变操作系统的外观。
主题的设置保存在% AppData % \ Microsoft \ Windows \ Themes文件夹下,文件扩展名为. theme,如“Custom Dark.theme”。
用户可接着点击“保存要分享的主题”,从而创建一个名为“.deskthemepack”的文件。,就可以和其他用户共享Windows主题。这些桌面主题包可以通过电子邮件共享,也可以在网站上下载,双击即可安装。
那么主题设置存在的漏洞是怎样的呢?
上周末,安全研究员吉米•贝恩(Jimmy Bayne)透露,特别制作的Windows主题可以用于执行“哈希传递”攻击。在传递哈希攻击中,攻击者获取发送的凭据,然后试图解密密码以访问访问者的登录名和密码。
在Bayne发现的新方法中,攻击者可以创建一个特定的.theme文件,并更改桌面壁纸设置,以使用远程认证所需的资源。
当窗口试图访问需要远程身份验证的资源时,它将自动尝试通过向帐户发送已登录的NTLM哈希和登录名来登录共享。
然后,攻击者可以获取凭据,并使用特殊的脚本解密密码。
由于哈希传递攻击将发送用于登录Windows帐户,包括Microsoft帐户,这种类型的攻击正变得越来越麻烦。
另外,微软正在从本地Windows10 帐户转向Microsoft帐户,远程攻击者可以利用这种攻击更容易地访问微软提供的大量远程服务。这包括能够潜在地访问电子邮件、Azure或远程访问公司网络。
Bayne 补充道,其已将这些发现披露给微软安全响应中心(MSRC)。可惜由于这是一项“设计特性”,该 bug 并未得到修复。为了防止恶意的主题文件,Bayne建议您阻止或重新关联。