Rilevano una minaccia che utilizza temi "preparati" in Windows per rubare le password di accesso del nostro computer

Poter cambiare l'aspetto delle nostre apparecchiature è uno degli aspetti che piacciono di più agli utenti. Cambiare il layout del desktop è facile come scaricare e applicare un tema. E infatti qui abbiamo visto i temi e i design che, ad esempio, Microsoft lancia periodicamente nel suo application store.

"

I temi e i pacchetti di temi di Windows 10 offrono un gran numero di opzioni e quasi tutte sono sicure, specialmente quelle rilasciate da Microsoft.E a questo ci riferiamo quasi sempre quando si parla di sicurezza, a causa della scoperta di un ricercatore che ha trovato temi appositamente progettati per rubare le nostre password "

Attacchi Pass-the-Hash

I temi consentono di cambiare quasi ogni aspetto del nostro desktop Colori, sfondi, icone, cursore... quasi tutto può essere modificato da temi che vengono scaricati o che personalizziamo noi stessi. I temi creano una configurazione memorizzata nel percorso AppData%\Microsoft\Windows\Themes come file con estensione .theme.

"

Il risultato, il file con estensione .theme, può essere condiviso con altri utenti ed è qui che risiede il problema scoperto dal ricercatore @bohops sul suo account Twitter. Temi confezionati appositamente per eseguire un attacco Pass-the-Hash (PtH) sui nostri computer."

Attacchi facili da realizzare e tanto che alla Bleeping Computer hanno seguito questo metodo e sono riusciti ad ottenere la password senza ulteriori complicazioni.

Un tipo di attacco che cerca di rubare credenziali per ottenere l'accesso ad altri componenti del sistema con l'obiettivo di ottenere il controllo totale di it e l'accesso a tutti i tipi di informazioni che memorizziamo e che circolano attraverso il sistema operativo.

L'aggressore tenta di accedere e ottenere le credenziali di accesso sul computer in modo che, una volta ottenute, possa identificarsi su altri computer collegati alla rete. Si tratta di accedere ai valori hash della password e in questo modo poter accedere a tutti i tipi di servizi. In questo caso non si tratta di accedere alla password in chiaro, ma piuttosto all'hash NTLM, che facilita l'esecuzione dell'attacco.

In questo caso, questo file .theme modificato non fa altro che modificare le impostazioni in modo che il tema debba cercare una risorsa o un file remoto che richiede l'autenticazione. A quel punto, quando proverai ad accedere a quel file da remoto, proverà automaticamente ad accedere inviando l'hash NTLM e il nome utente dell'account Windows.

In questa situazione, la soluzione consigliata dallo scopritore della minaccia è non scaricare o installare file con queste estensioni, in particolare quando provengono da siti non affidabili. Un' altra misura, più estrema, prevede il blocco di tutte le estensioni di file .theme, .themepack. e .desktopthemepackfile, ma in questo modo non potremo cambiare i temi sul nostro computer.

Via | Computer che suona