彼らは、Windows で「準備された」テーマを使用してコンピュータのアクセス パスワードを盗む脅威を検出します
目次:
機器の外観を変更できることは、ユーザーが最も好む側面の 1 つです。 デスクトップ レイアウトの変更 テーマをダウンロードして適用するのと同じくらい簡単です。実際、ここでは、たとえば Microsoft がアプリケーション ストアで定期的にリリースしているテーマやデザインを見てきました。
"Windows 10 のテーマとテーマ パックには多数のオプションが用意されており、特に Microsoft によってリリースされたものはほとんどすべて安全です。そして、セキュリティについて話すとき、ほとんどすべてのことについて言及しています。これは、パスワードを盗むために特別に設計されたテーマを発見した研究者の発見によるものです。 "
パスザハッシュ攻撃
テーマにより、デスクトップのほぼすべての側面を変更できます色、背景、アイコン、カーソル...ほとんどすべてをダウンロードしたテーマ、または自分でカスタマイズしたテーマ。テーマは、パス AppData%\Microsoft\Windows\Themes に .theme 拡張子を持つファイルとして保存される構成を作成します。
"その結果、拡張子が .theme のファイルは他のユーザーと共有できます。これが、研究者 @bohops が彼の Twitter アカウントで発見した問題の原因です。 Pass-the-Hash (PtH) 攻撃をコンピューターに実行するために特別にパッケージ化されたテーマ。"
攻撃は簡単に実行できるため、Bleeping Computer ではこの方法に従い、さらに複雑にすることなくパスワードを取得することができました。
クレデンシャルを盗んで他のシステム コンポーネントにアクセスしようとするタイプの攻撃また、当社が保存し、オペレーティング システムを介して循環するあらゆる種類の情報にアクセスできます。
攻撃者は、ネットワークに接続された他のコンピュータで自分自身を識別できるように、コンピュータにアクセスしてログイン資格情報を取得しようとします。 パスワードのハッシュ値にアクセスする問題です この方法であらゆる種類のサービスにアクセスできます。この場合、問題は平文のパスワードにアクセスすることではなく、攻撃を実行しやすくする NTLM ハッシュです。
この場合、 この変更された .theme ファイルは設定を変更します テーマがリソースまたは認証が必要なリモート ファイル。その時点で、そのファイルにリモートでアクセスしようとすると、NTLM ハッシュと Windows アカウントのユーザー名を送信して自動的にログインを試みます。
この状況で、脅威の発見者が推奨する解決策は、これらの拡張子を持つファイルをダウンロードまたはインストールしないことです、特に信頼できないサイトから来たとき。もう 1 つのより極端な方法は、すべての .theme、.themepack ファイル拡張子をブロックすることです。および .desktopthemepackfile ですが、この方法では、コンピューターのテーマを変更することはできません。
Via |コンピューターのピー音
