Особым образом сконфигурированные темы и пакеты тем для Windows 10 могут использоваться злоумышленниками для осуществления атаки Pass-the-Hash и незаметного похищения учетных данных пользователей Windows.
Windows позволяет пользователям создавать собственные темы, самостоятельно выбирать цвета, звуки, вид курсора мыши и обои. Пользователи также могут переключаться между темами, если захочется изменить внешний вид операционной системы.
Настройки для тем сохраняются в виде файла с расширением .theme в папке %AppData%\Microsoft\Windows\Themes. Темами можно обмениваться с другими пользователями, нажав правой кнопкой мыши на активную тему и выбрав соответствующую опцию. В таком случае тема сохраняется в файле с расширением .deskthemepack, который можно отправить по электронной почте или загрузить на сайт. Для установки темы достаточно дважды кликнуть на файл.
По словам исследователя безопасности Джимми Бэйна (Jimmy Bayne), особым образом сконфигурированные темы для Windows могут использоваться для осуществления атаки Pass-the-Hash. Подобные атаки осуществляются с целью похищения логинов и хэшей паролей. Для этого злоумышленники должны обманным путем вынудить жертву использовать протокол SMB, для чего потребуется аутентификация.
При попытке доступа к удаленному ресурсу Windows автоматически попытается авторизоваться в удаленной системе путем отправки логина и NTLM-хэша пароля пользователя. В атаке Pass-the-Hash отправляемые учетные данные перехватываются злоумышленником, который затем может расшифровать пароль.
Бэйн уведомил о проблеме компанию Microsoft ранее в нынешнем году, однако ему сообщили, что она не подлежит исправлению, поскольку является «предусмотренной функцией».
