Mereka mendeteksi ancaman yang menggunakan tema "siap" di Windows untuk mencuri kata sandi akses komputer kita

Dapat mengubah tampilan peralatan kami adalah salah satu aspek yang paling disukai pengguna. Mengubah tata letak desktop semudah mengunduh dan menerapkan tema. Dan nyatanya, di sini kita telah melihat tema dan desain yang, misalnya, diluncurkan Microsoft secara berkala di toko aplikasinya.

"

Tema dan paket tema Windows 10 menawarkan sejumlah besar opsi dan hampir semuanya aman, terutama yang dirilis oleh Microsoft.Dan kami mengacu pada itu hampir semua ketika berbicara tentang keamanan, karena penemuan seorang peneliti yang telah menemukan tema yang dirancang khusus untuk mencuri kata sandi kami "

Serangan Pass-the-Hash

Tema memungkinkan untuk mengubah hampir semua aspek desktop kita Warna, latar belakang, ikon, kursor... hampir semuanya dapat dimodifikasi oleh tema yang di download atau yang kita custom sendiri. Tema membuat konfigurasi yang disimpan di jalur AppData%\Microsoft\Windows\Themes sebagai file dengan ekstensi .theme.

"

Hasilnya, file dengan ekstensi .theme, dapat dibagikan dengan pengguna lain dan di sinilah letak masalah yang ditemukan oleh peneliti @bohops di akun Twitternya. Tema dikemas secara khusus untuk melakukan serangan Pass-the-Hash (PtH) pada komputer kita."

Serangan mudah dilakukan dan begitu banyak sehingga di Bleeping Computer mereka telah mengikuti metode ini dan berhasil mendapatkan kata sandi tanpa kerumitan lebih lanjut.

Jenis serangan yang berusaha untuk mencuri kredensial untuk mendapatkan akses ke komponen sistem lainnya dengan tujuan mendapatkan kendali penuh atas itu dan akses ke semua jenis informasi yang kami simpan dan yang diedarkan melalui sistem operasi.

Penyerang mencoba mengakses dan mendapatkan kredensial login di komputer sehingga, setelah tercapai, dia dapat mengidentifikasi dirinya di komputer lain yang terhubung ke jaringan. Ini adalah pertanyaan tentang mengakses nilai hash dari kata sandi dan dengan cara ini dapat mengakses semua jenis layanan. Dalam hal ini, ini bukan tentang mengakses kata sandi dalam teks biasa, melainkan hash NTLM, yang membuat serangan lebih mudah dilakukan.

Dalam hal ini, file .theme yang dimodifikasi ini mengubah pengaturan sehingga tema harus mencari sumber daya atau file jarak jauh yang memerlukan otentikasi. Pada saat itu ketika Anda mencoba mengakses file itu dari jarak jauh, itu akan secara otomatis mencoba masuk dengan mengirimkan hash NTLM dan nama pengguna akun Windows.

Dalam situasi ini, solusi yang direkomendasikan oleh penemu ancaman adalah untuk jangan mendownload atau menginstal file dengan ekstensi ini, khususnya ketika Mereka berasal dari situs yang tidak dapat dipercaya. Tindakan lain yang lebih ekstrem melibatkan pemblokiran semua ekstensi file .theme, .themepack. dan .desktopthemepackfile, namun dengan cara ini kita tidak akan bisa mengubah tema di komputer kita.

Via | Komputer Bleeping