Специально созданные темы и комплекты тем для Windows 10 могут применяться в кибератаках типа «Pass-the-Hash» для кражи учетных данных Windows у ничего не подозревающих пользователей.
В Windows 10 предусмотрена возможность для пользователей создавать собственные темы, содержащие индивидуальные цвета, звуки, курсоры мыши и обои, которые будет использовать операционная система для оформления:
Все настройки выбранной темы сохранены в папке %AppData%\Microsoft\Windows\Themes в виде файла с расширением .theme (к примеру, Custom Dark.theme):
Созданными темами можно поделиться с другими пользователями. Для этого надо щелкнуть правой кнопкой мыши на выбранную тему и выбрать пункт «Сохранить тему для совместного использования», в результате чего тема будет упакована в файл .deskthemepack. Эти запакованные темы для рабочего стола можно затем отправить по электронной почте или загрузить на веб-сайтах.
6 сентября специалист по кибербезопасности Джимми Бэйн обнаружил, что специально созданные темы Windows могут использоваться для проведения кибератак Pass-the-Hash. Такие атаки применяются для кражи логинов пользователей Windows и хэшированных паролей за счет обмана пользователя для получения доступа к удаленному общему ресурсу SMB, который требует аутентификации.
При попытке получить доступ к удаленному ресурсу Windows автоматически попытается войти в удаленную систему, отправив имя пользователя Windows для входа и NTLM-хэш его пароля. При атаке Pass-the-Hash отправленные учетные данные собираются киберпреступниками, которые затем пытаются расшифровать пароль для доступа к имени пользователя и паролю посетителей.
В новом способе, обнаруженном Джимми Бэйном, киберпреступник может создать специальный файл .theme и изменить настройку обоев рабочего стола, чтобы использовать ресурс, требующий удаленной аутентификации, как показано ниже:
Когда Windows пытается получить доступ к ресурсу, требующему удаленной проверки подлинности, он автоматически пытается войти в общий ресурс, отправив хэш NTLM и имя входа для пользователя, вошедшего в учетную запись:
Затем киберпреступник может собрать учетные данные и расшифровать пароль с помощью специальных скриптов, чтобы получить его в текстовой форме:
Поскольку Microsoft переходит от локальных учетных записей Windows 10 к онлайн-аккаунтам сети Microsoft, хакеры могут использовать эту кибератаку для получения легкого доступа к множеству удаленных служб, предлагаемых корпорацией (возможность удаленного доступа к электронной почте, Azure или доступным корпоративным сетям).
Для обеспечения защиты от вредоносных файлов тем Джимми Бейн посоветовал заблокировать или повторно связать расширения .theme, .themepack и .desktopthemepackfile с другой программой:
Однако это нарушит работу функции тем в Windows 10, поэтому используйте метод только в том случае, если вам не нужно переключаться на другую тему.
Также есть возможность настроить групповую политику с именем «Сетевая безопасность: ограничить NTLM: исходящий трафик NTLM на удаленные серверы» и установить для нее значение «Запретить все», чтобы учетные данные NTLM не отправлялись на удаленные узлы:
Но отмечается, что настройка этого параметра может вызвать проблемы в корпоративных средах, использующих удаленные общие ресурсы.