Bayne muestra la posibilidad de ataques “Pass -the-Hash” mediante un archivo .theme especialmente diseñado

Jimmy Bayne, un investigador de seguridad, reveló este fin de semana que existe el riesgo de ataques Pass-the-Hash con algunos temas de Windows 10 especialmente diseñados, lo que permite a los atacantes robar las credenciales de las cuentas de Windows de usuarios insospechados.

Los usuarios de Widows cuentan con una función para crear temas personalizados que contienen colores, sonidos, cursores del mouse y el fondo de pantalla que usa el sistema operativo. Pueden cambiar entre diferentes temas según su elección. La configuración de un tema se guarda como un archivo en la carpeta% AppData% \ Microsoft \ Windows \ Themes.

Dicho archivo tiene la extensión .theme al final. Los usuarios también pueden compartir estos temas. Cuando hacen clic con el botón derecho en un tema activo y seleccionan “Guardarlos para compartir”, se les proporcionarán los temas en el formulario empaquetado para compartirlos por correo electrónico o como descargas en sitios web.

Los atacantes “Pass -the-Hash” tienen como objetivo robar los nombres de inicio de sesión de Windows y los hash de contraseña. Para ello, engañan a las personas para que accedan a un recurso compartido de SMS remoto que requiere autenticación. Durante el tiempo que Windows intenta acceder al recurso remoto, automáticamente intentará iniciar sesión en el sistema remoto enviando los nombres de usuario de Windows y un hash NTLM de la contraseña.

Estas credenciales son recolectadas por atacantes en los ataques Pass-the-Hash. Después de esto, intentan eliminar la contraseña para acceder al nombre de usuario y la contraseña del visitante. La eliminación de cualquier contraseña sencilla requiere de 2 a 4 segundos para descifrarla.

Lo que Bayne descubrió es que el ataque se puede realizar mediante un archivo .theme especialmente diseñado y cambiar la configuración del fondo de escritorio. Estos se utilizan como un recurso requerido de autenticación remota. Cuando Windows intenta acceder a este recurso requerido de autenticación remota, automáticamente intentará iniciar sesión en el recurso compartido enviando el hash NTLM y el nombre de inicio de sesión de las cuentas registradas. Luego, los atacantes pueden recolectar estas credenciales y eliminar las contraseñas usando scripts especiales.

El consejo de Bayne para proteger los archivos de temas maliciosos es bloquear o volver a asociar las extensiones .theme, .themepack y .desktopthemepackfile a un programa diferente. Sin embargo, debe usarlo si no necesita cambiar a otro tema, ya que hacerlo romperá la función del tema de Windows 10.

Para evitar que se envíen credenciales NTLM a hosts remotos, configure una política de grupo llamada ‘Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos’ y configúrelo en ‘Denegar todo’. Tenga en cuenta que esta configuración puede traer problemas en el entorno empresarial que utiliza recursos compartidos remotos.