Het gebruik van Windows 10 thema’s kan leiden tot diefstal van gebruikersreferenties

Een nieuwe bevinding van beveiligingsonderzoeker Jimmy Bayne claimt dat hackers met aangepaste Windows 10-thema’s gebruikersreferenties kunnen stelen. Volgens de bevindingen van beveiligingsonderzoeker Jimmy Bayne, kunnen aangepaste thema’s worden gebruikt om Pass-the-Hash-aanvallen uit te voeren op Windows 10-gebruikers.

Jimmy Bayne merkte op dat door de gebruiker gemaakte Windows 10-thema’s op maat worden opgeslagen onder “% AppData% \ Microsoft \ Windows \ Themes” met de extensie “.theme”. Deze thema’s kunnen vervolgens worden gedeeld met de instelling “Thema opslaan om te delen”, waarmee een “.deskthemepack” -bestand wordt gemaakt dat via e-mail kan worden verzonden. Hackers kunnen dit gebruiken als een manier om een ​​standaardachtergrond toe te voegen die verwijst naar een website die verificatie vereist. Wanneer een gebruiker inloggegevens typt, wordt een NTLM-hash en inlognaam verzonden voor authenticatie die door de hacker kan worden gebruikt om de inloggegevens te verwijderen en toegang te krijgen.

Bron: bohops @bohops

Omdat Windows 10 een Microsoft-account gebruikt, worden gebruikers kwetsbaarder voor aanvallen. Bovendien kan het hackers ook in staat stellen accountreferenties te stelen van andere services zoals Azure, Office en meer die Microsoft-accounts gebruiken voor authenticatie.

Bron: bohops @bohops

Bayne zei dat hij zijn bevindingen eerder dit jaar Microsoft had doorgestuurd, maar het bedrijf zei dat het het probleem niet zal oplossen omdat het een “feature by design” is. Jimmy stelde voor dat gebruikers de .theme-, .themepack- en .desktopthemepackfile-extensies kunnen blokkeren of opnieuw kunnen koppelen aan een ander programma, waardoor de functie wordt verbroken, maar dat zou als laatste redmiddel moeten worden gebruikt omdat gebruikers Windows 10 niet kunnen wijzigen thema’s.

Bayne over preventie:

Vanuit een defensief perspectief, blokkeer / opnieuw associeer / zoek naar “theme”, “themepack”, “desktopthemepackfile” extensies. In browsers moeten gebruikers een vinkje krijgen voordat ze openen. Andere CVE-vulns zijn de afgelopen jaren onthuld, dus het is de moeite waard om 4/4 aan te pakken en te verzachten

Als u dit echter doet, wordt de functie Windows 10-thema’s verbroken, dus gebruik deze alleen als u niet naar een ander thema hoeft over te schakelen. Windows-gebruikers kunnen een groepsbeleid configureren met de naam ‘ Netwerkbeveiliging: NTLM beperken: uitgaand NTLM-verkeer naar externe servers’ en dit instellen op ‘ Alles weigeren ‘ om te voorkomen dat uw NTLM-inloggegevens naar externe hosts worden verzonden.

Houd er rekening mee dat het configureren van deze optie problemen kan veroorzaken in bedrijfsomgevingen die externe shares gebruiken.

Ten slotte adviseert Softwaregeek om multi-factor authenticatie toe te voegen aan uw Microsoft-accounts om te voorkomen dat deze op afstand worden geopend door aanvallers die uw inloggegevens hebben gestolen.

Windows 8.1 krijgt een onverwachte update voor misbruik in Windows Remote Access

Op 19 augustus, acht dagen na patch dinsdag van deze maand, heeft Microsoft KB 4578013 uitgebracht. Deze out-of-cycle beveiligings patch is ontworpen om twee “Windows Remote Access elevation of privilege” kwetsbaarheden in Windows 8.1 op te lossen.

Het is een beetje een vreemde gebeurtenis. Het is nog nooit gebeurt dat Microsoft een van haar platforms in gevaar liet, terwijl het andere platforms bijwerkt. Alle andere getroffen versies van Windows zijn bijgewerkt voor deze Remote Access-exploit op 11 augustus (Patch Dinsdag). We weten van andere gelegenheden toen Office voor Windows versies werden vastgesteld en vrijgegeven voor Mac-edities “Maar niet voor Windows”.

Microsoft zegt hierover in het Windows Message Center:

Onderneem actie: 19 augustus 2020 Windows 8.1 en Windows Server 2012 R2 out-of-band beveiligingsupdate beschikbaar

Er is een out-band beveiligingsupdate uitgebracht voor Windows 8.1 en Windows Server 2012 R2. Deze update verhelpt twee beveiligingslekken met betrekking tot misbruik van bevoegdheden in Windows Remote Access. We raden u aan deze updates zo snel mogelijk te installeren. Zie KB4578013 voor informatie over de update  . Zie CVE-2020-1530  en  CVE-2020-1537 voor meer informatie over deze kwetsbaarheden.

Opmerking:  Deze kwetsbaarheden zijn al verholpen voor alle andere ondersteunde besturingssystemen in de release van 11 augustus 2020.

Ter herinnering, elevation-of-privilege aanvallen worden gebruikt om meer rechten op een systeem te krijgen. Ze worden vaak toegepast met andere exploits in ransomware aanvallen.

De patch lijkt veilig te zijn en moet worden geïnstalleerd eerder vroeger dan later “vooral in netwerkinstellingen”. De patch vereist een reboot, dus plan dienovereenkomstig.

Pin It on Pinterest