Une nouvelle découverte du chercheur en sécurité Jimmy Bayne , qui l'a révélé sur Twitter, révèle une vulnérabilité dans le moteur de thèmes de Windows 10 qui peut être utilisée pour voler les informations d'identification des utilisateurs. Un thème spécial malformé, lorsqu'il est ouvert, redirige les utilisateurs vers une page qui invite les utilisateurs à entrer leurs informations d'identification.
Publicité
el botón de inicio deja de funcionar windows 10
Comme vous le savez peut-être déjà, Windows permet de partager des thèmes dans les paramètres. Cela peut être fait en ouvrant Paramètres> Personnalisation> Thèmes, puis en sélectionnant sur 'Enregistrer le thème pour le partage
'dans le menu. Cela créera un nouveau *fichier .deskthemepack
que l'utilisateur peut télécharger sur Internet, envoyer par e-mail ou partager avec d'autres via diverses méthodes. Les autres utilisateurs peuvent télécharger ces fichiers et les installer en un seul clic.
Un attaquant peut de la même manière créer un fichier «.theme» dans lequel le paramètre de fond d'écran par défaut pointe vers un site Web nécessitant une authentification. Lorsque des utilisateurs sans méfiance entrent leurs informations d'identification, un hachage NTLM des détails est envoyé au site pour authentification. Les mots de passe non complexes sont ensuite déchiffrés à l'aide d'un logiciel spécial de déchachage.
[Credential Harvesting Trick] À l'aide d'un fichier .theme Windows, la touche Fond d'écran peut être configurée pour pointer vers une ressource http / s requise par l'authentification à distance. Lorsqu'un utilisateur active le fichier de thème (par exemple ouvert à partir d'un lien / d'une pièce jointe), une invite de crédibilité Windows est affichée à l'utilisateur.
Que sont les fichiers * .theme?
Techniquement, les fichiers * .theme sont des fichiers * .ini qui incluent un certain nombre de sections que Windows lit et modifie l'apparence du système d'exploitation en fonction des instructions trouvées. Le fichier de thème spécifie la couleur d'accentuation, les fonds d'écran à appliquer et quelques autres options.
cómo conseguir pegatinas en telegram
L'une de ses sections se présente comme suit.
[Panneau de configuration Bureau]
Fond d'écran =% RépWin% web fond d'écran Windows img0.jpg
Il spécifie le fond d'écran par défaut appliqué lorsque l'utilisateur installe le thème. Au lieu du chemin local, pointe le chercheur, il peut être défini sur une ressource distante qui peut être utilisée pour que l'utilisateur entre ses informations d'identification. La clé de fond d'écran se trouve sous la section «Panneau de configuration Bureau» du fichier .theme. D'autres clés peuvent éventuellement être utilisées de la même manière, et cela peut également fonctionner pour la divulgation de hachage netNTLM lorsqu'elle est définie pour des emplacements de fichiers distants, explique Jimmy Bayne.
Le chercheur fournit une méthode pour atténuer le problème.
D'un point de vue défensif, bloquez / réassociez / recherchez les extensions 'theme', 'themepack', 'desktopthemepackfile'. Dans les navigateurs, les utilisateurs doivent recevoir un chèque avant l'ouverture. D'autres vulnérabilités CVE ont été divulguées ces dernières années, il vaut donc la peine de traiter et d'atténuer
La source: Neowin