Detecten una amenaça que se serveix de temes "preparats" a Windows per robar les contrasenyes d'accés del nostre equip

El poder canviar l'aspecte del nostre equip és un dels aspectes que més agraden als usuaris. Canviar el disseny de l'escriptori és tan fàcil com descarregar i aplicar un tema. I de fet, aquí hem vist els temes i dissenys que per exemple Microsoft ha anat llançant periòdicament a la seva botiga d'aplicacions.

"

Els temes i paquets de temes de Windows 10 ofereixen una gran quantitat d&39;opcions i gairebé tots són segurs, sobretot en el cas dels llançats per Microsoft.I fem referència a aquest gairebé tots en parlar de seguretat, pel descobriment d&39;un investigador que ha trobat temes especialment dissenyats per robar les nostres contrasenyes "

Atacs Pass-the-Hash

Els temes permeten canviar gairebé qualsevol aspecte del nostre escriptori Colors, fons, icones, cursor… gairebé tot es pot modificar per temes que es descarreguen o que personalitzem nos altres mateixos. Els temes creen una configuració que s'emmagatzema a la ruta AppData%\Microsoft\Windows\Themes com un fitxer amb una extensió .theme.

"

El resultat, l&39;arxiu amb l&39;extensió .theme, es pot compartir amb altres usuaris i és aquí on rau el problema descobert per l&39;investigador @bohops al vostre compte de Twitter. Temes empaquetats especialment per efectuar un atac Pass-the-Hash (PtH) als nostres equips."

Atques fàcils de dur a terme i tant és així que a Bleeping Computer han seguit aquest mètode i han aconseguit obtenir la contrasenya sense més complicacions.

Un tipus d'atac que el que busca és robar credencials per accedir a altres components del sistema amb l'objectiu d'arribar a tenir un control total del mateix i accedir a tota mena d'informació que emmagatzemem i que circuli pel sistema operatiu.

L'atacant intenta accedir i aconseguir les credencials d'inici de sessió a l'equip per a una vegada aconseguides, identificar-se en altres equips connectats a la xarxa. Es tracta d'accedir als valors hash de la contrasenya i així poder accedir a tot tipus de serveis. En aquest cas, no es tracta d'accedir a la contrasenya en text pla, sinó al hash NTLM, cosa que fa que l'atac sigui més fàcil de dur a terme.

En aquest cas, aquest fitxer .theme modificat el que fa és canviar els paràmetres perquè el tema hagi de buscar un recurs o un fitxer en remot que requereixi autenticació. En aquest moment quan intenteu accedir a aquest fitxer en remot, automàticament intentareu iniciar sessió enviant el hash NTLM i el nom d'usuari del compte de Windows.

Davant d'aquesta situació, la solució que recomana el descobridor de l'amenaça passa per no descarregar ni instal·lar fitxers amb aquestes extensions, sobretot quan provenen de llocs que no donen confiança. Una altra mesura, més extrema, passa per bloquejar totes les extensions de fitxer .theme, .themepack. i .desktopthemepackfile, però d'aquesta manera no podrem canviar els temes al nostre equip.

Via | Bleeping Computer