Bayne mostra la possibilità di attacchi “Pass-the-Hash” tramite file .theme appositamente predisposti
Jimmy Bayne, un ricercatore di sicurezza, ha rivelato questo fine settimana che esiste il rischio di attacchi Pass-the-Hash con alcuni temi di Windows 10 appositamente predisposti, consentendo agli aggressori di rubare le credenziali dell’account Windows da utenti insospettati.
Agli utenti di Widows viene fornita una funzione per creare temi personalizzati contenenti colori, suoni, cursori del mouse e lo sfondo utilizzato dal sistema operativo. Possono passare tra diversi temi secondo la loro scelta. Le impostazioni di un tema vengono salvate come file nella cartella% AppData% \ Microsoft \ Windows \ Themes.
Tale file ha l’estensione .theme alla fine. Gli utenti possono anche condividere questi temi. Quando fanno clic con il pulsante destro del mouse su un tema attivo e selezionano “Salvali per la condivisione”, verranno forniti i temi nel formato compresso per la condivisione tramite e-mail o come download sui siti Web.
Gli aggressori “Pass-the-Hash” mirano a rubare i nomi di accesso di Windows e gli hash delle password. Per questo, inducono le persone ad accedere a una condivisione SMS remota che richiede l’autenticazione. Durante il periodo in cui Windows tenta di accedere alla risorsa remota, proverà automaticamente ad accedere al sistema remoto inviando i nomi utente di Windows e un hash NTLM della password.
Queste credenziali vengono raccolte dagli aggressori negli attacchi Pass-the-Hash. Dopodiché, provano a modificare la password per accedere al nome di accesso e alla password del visitatore. L’eliminazione di qualsiasi password facile richiede solo 2-4 secondi per decifrarla.
Quello che ha scoperto Bayne è che l’attacco può essere eseguito da un file .theme appositamente predisposto e modificare le impostazioni dello sfondo del desktop. Questi vengono utilizzati come risorsa richiesta per l’autenticazione remota. Quando Windows tenta di accedere a questa risorsa richiesta per l’autenticazione remota, tenterà automaticamente di accedere alla condivisione inviando l’hash NTLM e il nome di accesso degli account collegati. Gli aggressori possono quindi raccogliere queste credenziali e modificare le password utilizzando script speciali.
Il consiglio di Bayne per proteggere i file dei temi dannosi per te è di bloccare o riassociare le estensioni .theme, .themepack e e .desktopthemepackfile a un programma diverso. Tuttavia, dovresti usarlo se non è necessario passare a un altro tema poiché ciò interromperà la funzionalità del tema di Windows 10.
Per impedire che le credenziali NTLM vengano inviate a host remoti, configurare un criterio di gruppo denominato “Sicurezza di rete: limita NTLM: traffico NTLM in uscita ai server remoti” e impostarlo su “Nega tutto”. Tieni presente che questa configurazione può causare problemi nell’ambiente aziendale che utilizza condivisioni remote.