Zaznajo grožnjo, ki uporablja "pripravljene" teme v sistemu Windows za krajo dostopnih gesel našega računalnika
Kazalo:
Možnost spreminjanja videza naše opreme je eden od vidikov, ki so uporabnikom najbolj všeč. Spreminjanje postavitve namizja je tako preprosto kot prenos in uporaba teme. Pravzaprav smo tukaj videli teme in dizajne, ki jih na primer Microsoft redno uvaja v svoji trgovini z aplikacijami.
"Teme in tematski paketi Windows 10 ponujajo veliko možnosti in skoraj vse so varne, zlasti tiste, ki jih je izdal Microsoft.In na to se skoraj vsi sklicujemo, ko govorimo o varnosti, zaradi odkritja raziskovalca, ki je našel posebej zasnovane teme za krajo naših gesel "
Napadi Pass-the-Hash
Teme omogočajo spreminjanje skoraj vseh vidikov našega namizja Barve, ozadja, ikone, kazalec ... skoraj vse je mogoče spremeniti z teme, ki jih prenesemo ali jih prilagodimo sami. Teme ustvarijo konfiguracijo, ki je shranjena na poti AppData%\Microsoft\Windows\Themes kot datoteka s pripono .theme.
"Rezultat, datoteko s končnico .theme, lahko delite z drugimi uporabniki in tu je težava, ki jo je odkril raziskovalec @bohops na svojem Twitter računu. Teme, posebej pakirane za izvedbo napada Pass-the-Hash (PtH) na naše računalnike."
Enostavni napadi za izvedbo in tako zelo, da so pri Bleeping Computer sledili tej metodi in jim uspelo pridobiti geslo brez nadaljnjih zapletov.
Vrsta napada, ki skuša ukrasti poverilnice za dostop do drugih sistemskih komponent z namenom pridobitve popolnega nadzora nad in dostop do vseh vrst informacij, ki jih hranimo in krožijo po operacijskem sistemu.
Napadalec poskuša dostopati do poverilnic za prijavo v računalnik in jih pridobiti, tako da se lahko, ko jih doseže, identificira v drugih računalnikih, povezanih v omrežje. Gre za dostop do zgoščenih vrednosti gesla in na ta način dostop do vseh vrst storitev. V tem primeru ne gre za dostop do gesla v navadnem besedilu, temveč za NTLM hash, ki olajša izvedbo napada.
V tem primeru ta spremenjena datoteka .theme spremeni nastavitve, tako da mora tema iskati vir ali oddaljeno datoteko, ki zahteva preverjanje pristnosti. Na tej točki, ko poskusite dostopati do te datoteke na daljavo, se bo samodejno poskusila prijaviti s pošiljanjem zgoščene vrednosti NTLM in uporabniškega imena računa Windows.
V tej situaciji je rešitev, ki jo priporoča odkritelj grožnje, ne prenašajte ali nameščajte datotek s temi končnicami, še posebej ko prihajajo z nezaupanja vrednih mest. Drugi, bolj skrajni ukrep vključuje blokiranje vseh končnic datotek .theme, .themepack. in .desktopthemepackfile, vendar na ta način ne bomo mogli spreminjati tem na našem računalniku.
Via | Bleeping Computer
