Bayneは、特別に細工された.themeファイルによる「Pass -the-Hash」攻撃の可能性を示しています

セキュリティ研究者のJimmy Bayneが今週末、特別に細工されたWindows 10テーマを使ったPass-the-Hash攻撃のリスクがあり、攻撃者が疑いを持たないユーザーからWindowsアカウントの資格情報を盗む可能性があることを明らかにしました。

未亡人のユーザーには、色、サウンド、マウスカーソル、OSが使用する壁紙を含むカスタムテーマを作成する機能が提供されます。彼らは彼らの選択に従って異なるテーマを切り替えることができます。テーマの設定は、％AppData％\ Microsoft \ Windows \ Themesフォルダーの下にファイルとして保存されます。

このようなファイルの末尾には.theme拡張子が付いています。ユーザーはこれらのテーマも共有できます。アクティブなテーマを右クリックして[共有用に保存]を選択すると、テーマがパック形式で提供され、メールまたはWebサイトでのダウンロードとして共有できます。

「Pass -the-Hash」攻撃者は、Windowsログイン名とパスワードハッシュを盗むことを目的としています。このため、ユーザーをだまして、認証が必要なリモートSMS共有にアクセスさせます。 Windowsがリモートリソースにアクセスしようとしている間、Windowsのユーザー名とパスワードのNTLMハッシュを送信することで、リモートシステムへのログインを自動的に試みます。

これらの資格情報は、パスザハッシュ攻撃で攻撃者によって収集されます。この後、訪問者のログイン名とパスワードにアクセスするためにパスワードをハッシュ解除しようとします。簡単なパスワードをデハッシュするには、2〜4秒で解読する必要があります。

Bayneが発見したのは、特別に細工された.themeファイルで攻撃を実行し、デスクトップの壁紙設定を変更できることです。これらは、リモート認証が必要なリソースとして使用されます。 Windowsがこのリモート認証が必要なリソースにアクセスしようとすると、ログインアカウントのNTLMハッシュとログイン名を送信して、共有へのログインを自動的に試みます。攻撃者はこれらの資格情報を取得し、特別なスクリプトを使用してパスワードをハッシュ解除できます。

Bayneは、悪意のあるテーマファイルを保護するために、.theme、.themepack、および.desktopthemepackfile拡張子をブロックまたは別のプログラムに再度関連付けることをお勧めします。ただし、別のテーマに切り替える必要がない場合は、これを使用する必要があります。これを行うと、Windows 10のテーマ機能が機能しなくなるためです。

NTLM資格情報がリモートホストに送信されないようにするには、「ネットワークセキュリティ：NTLMを制限する：リモートサーバーへの送信NTLMトラフィック」という名前のグループポリシーを構成し、[すべて拒否]に設定します。この構成は、リモート共有を使用するエンタープライズ環境で問題を引き起こす可能性があることに注意してください。