巧尽心思构建的Windows10主题和主题包可用于Pass-the-Hash攻击,从毫无戒心的用户那里窃取Windows帐户凭据。
Windows允许用户创建自定义主题,其中包含操作系统将使用的自定义颜色、声音、鼠标光标、颜色和墙纸。
然后,Windows用户可以根据需要在不同的主题之间切换,以更改操作系统的外观。
主题的设置保存在%AppData%\Microsoft\Windows\Themes文件夹下,作为扩展名为.heme的文件,例如';Custom Dark.hemed.';
然后,通过右键单击活动主题并选择保存主题以进行共享,即可与其他用户共享Windows主题,这会将该主题打包到一个.deskhemepack文件中。
然后,这些桌面主题包可以通过电子邮件共享,也可以在网站上下载,并通过双击安装。
本周末,安全研究人员吉米·贝恩·霍普斯(@bohops)透露,特制的Windows主题可以用来执行Pass-the-Hash攻击。
Pass-the-Hash攻击用于通过诱使用户访问需要身份验证的远程SMB共享来窃取Windows登录名和密码哈希。
尝试访问远程资源时,Windows将通过发送Windows用户的登录名及其密码的NTLM哈希,自动尝试登录到远程系统。
在Pass-the-Hash攻击中,攻击者获取发送的凭据,然后尝试对密码进行哈希处理以访问访问者的登录名和密码。
在先前由蜂鸣器计算机做的一项测试中,破解一个简单的密码需要大约4秒的时间才能破解!
在Bayne发现的新方法中,攻击者可以创建巧尽心思构建的.heme文件,并更改桌面墙纸设置以使用远程身份验证所需的资源,如下图所示。
当Windows尝试访问需要远程身份验证的资源时,它将通过发送已登录帐户的NTLM哈希和登录名来自动尝试登录到共享。
然后,攻击者可以获取凭据并使用特殊脚本对密码进行哈希处理,因此密码是明文形式的。
由于Pass-the-Hash攻击会将用于登录Windows的帐户(包括Microsoft帐户)发送到Windows,因此此类攻击正变得越来越有问题。
由于微软从本地Windows 10账户转向微软账户,远程攻击者可以利用这种恶意攻击更轻松地访问微软提供的无数远程服务。
贝恩表示,他在今年早些时候向微软披露了这一攻击,但被告知它不会被修复,因为这是一个精心设计的安全功能。
为了防止恶意主题文件,Bayne建议您阻止或将.heme、.hemepack和.desktophemepackfile扩展名重新关联到不同的程序。
不过,这样做会破坏Windows10主题功能,所以只有在不需要切换到其他主题时才使用它。
Windows用户可以配置名为“网络安全:限制NTLM:到远程服务器的传出NTLM通信”的组策略,并将其设置为“全部拒绝”,以防止将您的NTLM凭据发送到远程主机。
请注意,配置此选项可能会在使用远程共享的企业环境中导致问题。
有关如何启用此策略以及Windows 10家庭用户的注册表值的更多详细信息,您可以阅读我们专门的文章“了解Windows凭据泄漏缺陷以及如何防止它”。
最后,BleepingComputer建议对您的Microsoft帐户添加多因素身份验证,以防止成功窃取您的凭据的攻击者远程访问这些帐户。