Пользовательские темы Windows 10 могут использоваться для кражи учётных данных

Исследователь Джимми Бэйн (Jimmy Bayne), работающий в сфере информационной безопасности, обнаружил лазейку в настройках тем оформления Windows 10, которая может использоваться злоумышленниками для кражи учётных данных ОС. Для этого необходимо создать особым образом сконфигурированную тему, которая позволит провести атаку типа Pass-the-hash.

Операционная система Windows позволяет создавать собственные темы оформления и обмениваться ими через интерфейс настроек. Когда пользователь сохраняет тему, создаётся файл с расширением «.theme». Если же он решит поделиться с кем-либо своей темой, то она будет упакована в файл с расширением «.deskthemepack», который можно передать по электронной почте или каким-то иным способом.

Аналогичным образом злоумышленники могут создавать файлы «.theme», при открытии которых пользователи будут перенаправляться на веб-сайт, требующий аутентификации. Когда пользователи вводят свои данные, на сайт отправляется NTLM-хеш. Из него с помощью специального программного обеспечения могут быть извлечены пользовательские учётные данные.

Один из способов защиты от подобных атак заключается в поиске и блокировке файлов с расширениями «.theme», «.themepack» и «.desktopthemepackfile». Кроме того, с помощью групповых политик можно ограничить отправку хешированных учётных данных NTLM на удалённые узлы.

Исследователь отмечает, что он сообщил в Microsoft об обнаруженной проблеме, но разработчики всё ещё её не устранили. Представители Microsoft пока никак не комментируют данный вопрос.