Het uiterlijk van ons team kunnen veranderen is een van de aspecten die gebruikers het leukst vinden. Uw bureaubladindeling wijzigen is net zo eenvoudig als het downloaden en toepassen van een thema. En in feite hebben we hier de thema's en ontwerpen gezien die bijvoorbeeld Microsoft regelmatig lanceert in zijn applicatiewinkel.
Windows 10-thema's en themapakketten bieden een groot aantal opties en bijna allemaal zijn ze veilig, vooral in het geval van die van Microsoft. En we verwijzen naar dat "bijna alles" als we het hebben over beveiliging, vanwege de ontdekking van een onderzoeker die thema's heeft gevonden die speciaal zijn ontworpen om onze wachtwoorden te stelen
Pass-the-Hash-aanvallen
Thema's stellen ons in staat bijna elk aspect van onze desktop te veranderen Kleuren, achtergronden, pictogrammen, cursor… bijna alles kan worden aangepast door thema's die worden gedownload of die we zelf aanpassen. Thema's maken een instelling die wordt opgeslagen in het pad AppData%\Microsoft\Windows\Themes als een bestand met de extensie.theme..
Het resultaat, het bestand met de extensie ".theme", kan met andere gebruikers worden gedeeld en hier ligt het probleem dat door de onderzoeker @bohops op zijn Twitter-account is ontdekt. Speciaal verpakte thema's om een Pass-the-Hash (PtH)-aanval op onze teams uit te voeren.
Eenvoudig uit te voeren aanvallen en zo veel zelfs dat ze bij Bleeping Computer deze methode hebben gevolgd en het wachtwoord zonder verdere complicaties hebben weten te bemachtigen.
Een type aanval dat probeert inloggegevens te stelen om toegang te krijgen tot andere componenten van het systeem met als doel totale controle over het systeem te krijgen en toegang te krijgen tot alle soorten informatie die we winkel en dat circuleert door het besturingssysteem.
De aanvaller probeert toegang te krijgen tot de inloggegevens op de computer en deze te verkrijgen en, zodra dit is gelukt, zichzelf te identificeren op andere computers die op het netwerk zijn aangesloten. Dit gaat over toegang krijgen tot de hash-waarden van het wachtwoord en zo toegang krijgen tot allerlei diensten. In dit geval gaat het niet om toegang tot het wachtwoord in platte tekst, maar om de NTLM-hash, waardoor de aanval gemakkelijker uit te voeren is.
In dit geval dit gewijzigde.theme-bestand verandert de instellingen zodat het thema moet zoeken naar een externe bron of bestand dat authenticatie vereist. Wanneer u op dat moment probeert om dat bestand op afstand te openen, zal het automatisch proberen in te loggen door de NTLM-hash en gebruikersnaam van het Windows-account te verzenden.
In deze situatie is de oplossing die wordt aanbevolen door de ontdekker van de dreiging om bestanden met deze extensies niet te downloaden of te installeren, vooral niet als ze afkomstig zijn van onbetrouwbare sites. Een andere, extremere maatregel is het blokkeren van alle.theme,.themepack bestandsextensies. en.desktopthemepackfile, maar op deze manier kunnen we de thema's op onze computer niet wijzigen.
