Een beveiligingsonderzoeker heeft ontdekt dat Windows 10 thema's kunnen worden gebruikt om gebruikers te stelen’ gegevens met behulp van een techniek genaamd pass-the-hash. Dit is mogelijk om een maas in het besturingssysteem te vinden die wordt gebruikt om het laden van aangepaste thema's mogelijk te maken.
Windows 10 Aangepaste thema's kunnen worden misbruikt en gebruikt om gebruikersgegevens te stelen
Windows 10 maakt de installatie van aangepaste thema's door de gebruikers mogelijk en dit is onlangs ontdekt als een toegangspunt voor misbruik. De waarschuwing kwam van de beveiligingsonderzoeker Jimmy Bayne, die ontdekt een gevaarlijke maas in de wet die kan worden misbruikt door hackers. Dit komt door de mogelijkheid om thema's te installeren vanaf een site of repository van een derde partij. De expert merkt op dat kwaadwillende gebruikers kunnen profiteren van de mogelijkheid om een aanvalsmodel met de naam uit te voeren Pass-The-Hash.
Met opzet, dit beveelt hackers om thema's te maken met malwarecode die een vooraf ingestelde gedragsreeks zullen uitvoeren wanneer het thema wordt geactiveerd. Wanneer u dit doet, krijgen de gebruikers een prompt te zien die dat wel zal doen vraag hen om hun inloggegevens in te voeren. Het thema zal de pagina's daadwerkelijk omleiden naar een speciaal gemaakte webpagina die dit formulier bevat.
Het .thema bestand dat is gekoppeld aan een bepaalde themakeuze, kan worden geprogrammeerd om de standaardachtergrondinstelling te wijzigen in een website. Als de gebruikers de inloggegevens van hun computer invoeren, worden deze doorgestuurd naar de hackers. Hoewel de informatie is opgeslagen in een beveiligde NTLM-hash, kan deze eenvoudig worden gedecodeerd met behulp van speciale software. Dergelijke aanvallen zijn erg gevaarlijk als ze kunnen worden gebruikt in combinatie met andere soorten malware bij het coördineren van geavanceerde infecties.
Mogelijke tegenmaatregelen die computerbeheerders kunnen nemen, zijn het beperken van de installaties door de bestanden met thema-extensies te blokkeren. Als het om werkgroepcomputers gaat, kan een groepsbeleid worden gebruikt om het verzenden van NTLM-referenties naar externe hosts te beperken. Echter, dit kan interfereren met sommige bedrijfsopstellingen die deze benadering gebruiken voor inloggen op afstand. Deze informatie is aan Microsoft gerapporteerd, maar op dit moment zal het probleem niet worden opgelost, aangezien het personeel van het bedrijf zei dat dit een “kenmerk door ontwerp”.