Het gebruik van Windows 10 thema’s kan leiden tot diefstal van gebruikersreferenties

Een nieuwe bevinding van beveiligingsonderzoeker Jimmy Bayne claimt dat hackers met aangepaste Windows 10-thema’s gebruikersreferenties kunnen stelen. Volgens de bevindingen van beveiligingsonderzoeker Jimmy Bayne, kunnen aangepaste thema’s worden gebruikt om Pass-the-Hash-aanvallen uit te voeren op Windows 10-gebruikers.

Jimmy Bayne merkte op dat door de gebruiker gemaakte Windows 10-thema’s op maat worden opgeslagen onder “% AppData% \ Microsoft \ Windows \ Themes” met de extensie “.theme”. Deze thema’s kunnen vervolgens worden gedeeld met de instelling “Thema opslaan om te delen”, waarmee een “.deskthemepack” -bestand wordt gemaakt dat via e-mail kan worden verzonden. Hackers kunnen dit gebruiken als een manier om een ​​standaardachtergrond toe te voegen die verwijst naar een website die verificatie vereist. Wanneer een gebruiker inloggegevens typt, wordt een NTLM-hash en inlognaam verzonden voor authenticatie die door de hacker kan worden gebruikt om de inloggegevens te verwijderen en toegang te krijgen.

Bron: bohops @bohops

Omdat Windows 10 een Microsoft-account gebruikt, worden gebruikers kwetsbaarder voor aanvallen. Bovendien kan het hackers ook in staat stellen accountreferenties te stelen van andere services zoals Azure, Office en meer die Microsoft-accounts gebruiken voor authenticatie.

Bron: bohops @bohops

Bayne zei dat hij zijn bevindingen eerder dit jaar Microsoft had doorgestuurd, maar het bedrijf zei dat het het probleem niet zal oplossen omdat het een “feature by design” is. Jimmy stelde voor dat gebruikers de .theme-, .themepack- en .desktopthemepackfile-extensies kunnen blokkeren of opnieuw kunnen koppelen aan een ander programma, waardoor de functie wordt verbroken, maar dat zou als laatste redmiddel moeten worden gebruikt omdat gebruikers Windows 10 niet kunnen wijzigen thema’s.

Bayne over preventie:

Vanuit een defensief perspectief, blokkeer / opnieuw associeer / zoek naar “theme”, “themepack”, “desktopthemepackfile” extensies. In browsers moeten gebruikers een vinkje krijgen voordat ze openen. Andere CVE-vulns zijn de afgelopen jaren onthuld, dus het is de moeite waard om 4/4 aan te pakken en te verzachten

Als u dit echter doet, wordt de functie Windows 10-thema’s verbroken, dus gebruik deze alleen als u niet naar een ander thema hoeft over te schakelen. Windows-gebruikers kunnen een groepsbeleid configureren met de naam ‘ Netwerkbeveiliging: NTLM beperken: uitgaand NTLM-verkeer naar externe servers’ en dit instellen op ‘ Alles weigeren ‘ om te voorkomen dat uw NTLM-inloggegevens naar externe hosts worden verzonden.

Houd er rekening mee dat het configureren van deze optie problemen kan veroorzaken in bedrijfsomgevingen die externe shares gebruiken.

Ten slotte adviseert Softwaregeek om multi-factor authenticatie toe te voegen aan uw Microsoft-accounts om te voorkomen dat deze op afstand worden geopend door aanvallers die uw inloggegevens hebben gestolen.

Pin It on Pinterest