Bayne mostra a possibilidade de ataques “Pass-the-Hash” por arquivo .theme especialmente criado
Jimmy Bayne, um pesquisador de segurança, revelou neste fim de semana que há o risco de ataques Pass-the-Hash com alguns temas do Windows 10 especialmente criados, permitindo que invasores roubem credenciais de contas do Windows de usuários insuspeitos.
Os usuários das viúvas têm um recurso para criar temas personalizados contendo cores, sons, cursores do mouse e o papel de parede que o sistema operacional usa. Eles podem alternar entre diferentes temas de acordo com sua escolha. As configurações de um tema são salvas como um arquivo na pasta% AppData% \ Microsoft \ Windows \ Themes.
Esse arquivo tem a extensão .theme no final. Os usuários também podem compartilhar esses temas. Quando eles clicam com o botão direito em um tema ativo e selecionam “Salvar para compartilhamento”, os temas são fornecidos na forma compactada para compartilhamento por e-mail ou como downloads em sites.
Os invasores “Pass-the-Hash” visam roubar nomes de login do Windows e hashes de senha. Para isso, eles enganam as pessoas para que acessem um compartilhamento remoto de SMS que requer autenticação. Durante o tempo em que o Windows tenta acessar o recurso remoto, eles tentam automaticamente fazer login no sistema remoto enviando os nomes de usuário do Windows e um hash NTLM da senha.
Essas credenciais são coletadas por invasores nos ataques Pass-the-Hash. Depois disso, eles tentam remover a senha para acessar o nome de login e a senha do visitante. A remoção de qualquer senha fácil requer apenas 2 a 4 segundos para quebrá-la.
O que o Bayne descobriu é que o ataque pode ser executado por um arquivo .theme especialmente criado e alterar as configurações do papel de parede da área de trabalho. Eles são usados como um recurso requerido por autenticação remota. Quando o Windows tenta acessar este recurso requerido por autenticação remota, ele tentará automaticamente fazer login no compartilhamento, enviando hash NTLM e nome de login das contas conectadas. Os invasores podem então colher essas credenciais e eliminar as senhas usando scripts especiais.
A recomendação de Bayne para proteger arquivos de tema malicioso para você é bloquear ou reassociar as extensões .theme, .themepack e .desktopthemepackfile a um programa diferente. No entanto, você deve usá-lo se não precisar mudar para outro tema, pois isso interromperá o recurso de tema do Windows 10.
Para evitar que qualquer credencial NTLM seja enviada para hosts remotos, configure para uma política de grupo chamada ‘Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos’ e defina-a como ‘Negar tudo’. Observe que essa configuração pode trazer problemas no ambiente empresarial que usa compartilhamentos remotos.