พวกเขาตรวจพบภัยคุกคามที่ใช้ธีม "เตรียมไว้" ใน Windows เพื่อขโมยรหัสผ่านการเข้าถึงคอมพิวเตอร์ของเรา

ความสามารถในการเปลี่ยนรูปลักษณ์ของอุปกรณ์ของเราเป็นหนึ่งในด้านที่ผู้ใช้ชอบมากที่สุด การเปลี่ยนเค้าโครงเดสก์ท็อปของคุณ ทำได้ง่ายเหมือนกับการดาวน์โหลดและใช้ธีม และอันที่จริงแล้ว ที่นี่เราได้เห็นธีมและการออกแบบที่ Microsoft เปิดตัวเป็นระยะๆ ในแอปพลิเคชันสโตร์

"

ชุดรูปแบบและชุดรูปแบบ Windows 10 มีตัวเลือกมากมายและเกือบทั้งหมดมีความปลอดภัย โดยเฉพาะชุดรูปแบบที่ออกโดย Microsoftและเราอ้างถึงสิ่งนั้นเกือบทั้งหมดเมื่อพูดถึงความปลอดภัย เนื่องจากการค้นพบของนักวิจัยที่พบว่า ธีมที่ออกแบบมาเป็นพิเศษเพื่อขโมยรหัสผ่านของเรา "

การโจมตีแบบ Pass-the-Hash

ธีมอนุญาตให้ เปลี่ยนเกือบทุกด้านของเดสก์ท็อปของเรา สี พื้นหลัง ไอคอน เคอร์เซอร์... เกือบทุกอย่างแก้ไขได้โดย ธีมที่ดาวน์โหลดมาหรือที่เรากำหนดเอง ธีมสร้างการกำหนดค่าที่จัดเก็บไว้ในพาธ AppData%\Microsoft\Windows\Themes เป็นไฟล์ที่มีนามสกุล .theme

"

ผลลัพธ์ ไฟล์ที่มีนามสกุล .theme สามารถแชร์กับผู้ใช้รายอื่นได้ และนี่คือที่มาของปัญหาที่นักวิจัย @bohops ค้นพบในบัญชี Twitter ของเขา ธีมที่จัดทำขึ้นเป็นพิเศษเพื่อดำเนินการ Pass-the-Hash (PtH) โจมตีคอมพิวเตอร์ของเรา"

เป็นการโจมตีที่ง่ายดายและอีกมากมายที่ Bleeping Computer พวกเขาทำตามวิธีนี้และสามารถจัดการเพื่อรับรหัสผ่านโดยไม่ยุ่งยากอีกต่อไป

ประเภทของการโจมตีที่พยายาม ขโมยข้อมูลรับรองเพื่อเข้าถึงส่วนประกอบอื่นๆ ของระบบ โดยมีจุดประสงค์เพื่อควบคุมทั้งหมด และเข้าถึงข้อมูลทุกประเภทที่เราจัดเก็บและหมุนเวียนผ่านระบบปฏิบัติการ

ผู้โจมตีพยายามเข้าถึงและรับข้อมูลรับรองการเข้าสู่ระบบบนคอมพิวเตอร์ เพื่อที่เมื่อสำเร็จแล้ว เขาสามารถระบุตัวตนบนคอมพิวเตอร์เครื่องอื่นที่เชื่อมต่อกับเครือข่ายได้ เป็นคำถามเกี่ยวกับการเข้าถึงค่าแฮชของรหัสผ่าน และด้วยวิธีนี้ทำให้สามารถเข้าถึงบริการทุกประเภทได้ ในกรณีนี้ ไม่ใช่คำถามของการเข้าถึงรหัสผ่านในรูปแบบข้อความธรรมดา แต่เป็นแฮช NTLM ซึ่งทำให้การโจมตีทำได้ง่ายขึ้น

ในกรณีนี้ ไฟล์ .theme ที่แก้ไขแล้วนี้จะเปลี่ยนการตั้งค่า เพื่อให้ธีมต้องค้นหาทรัพยากรหรือ ไฟล์ระยะไกลที่ต้องการการรับรองความถูกต้อง เมื่อคุณพยายามเข้าถึงไฟล์นั้นจากระยะไกล ไฟล์นั้นจะพยายามเข้าสู่ระบบโดยอัตโนมัติโดยส่งแฮช NTLM และชื่อผู้ใช้บัญชี Windows

ในสถานการณ์นี้ วิธีแก้ไขที่แนะนำโดยผู้ค้นพบภัยคุกคามคือ อย่าดาวน์โหลดหรือติดตั้งไฟล์ที่มีนามสกุลเหล่านี้ โดยเฉพาะอย่างยิ่ง เมื่อพวกเขามาจากเว็บไซต์ที่ไม่น่าเชื่อถือ มาตรการอื่นที่รุนแรงกว่านั้นเกี่ยวข้องกับการบล็อกนามสกุลไฟล์ .theme, .themepack ทั้งหมด และ .desktopthemepackfile แต่วิธีนี้ เราจะไม่สามารถเปลี่ยนธีมในคอมพิวเตอร์ของเราได้

Via | คอมพิวเตอร์หลับ