拜恩通过特制的.theme文件显示了“通过哈希”攻击的可能性

安全研究员吉米·拜恩（Jimmy Bayne）本周末透露，使用某些特制的Windows 10主题存在“通过哈希”攻击的风险，从而使攻击者可以从不受怀疑的用户那里窃取Windows帐户凭据。

向寡妇的用户提供了一种创建自定义主题的功能，其中包含操作系统使用的颜色，声音，鼠标光标和墙纸。他们可以根据自己的选择在不同主题之间切换。主题的设置将另存为文件，位于％AppData％\ Microsoft \ Windows \ Themes文件夹下。

这样的文件末尾带有.theme扩展名。用户也可以共享这些主题。当他们右键单击活动主题并选择“保存以供共享”时，将以打包形式为他们提供主题，以通过电子邮件或在网站上下载进行共享。

“通过哈希”攻击者旨在窃取Windows登录名和密码哈希。为此，他们诱使人们访问需要身份验证的远程SMS共享。在Windows尝试访问远程资源的过程中，他们将通过发送Windows的用户名和密码的NTLM哈希值自动尝试登录到远程系统。

这些凭据是由攻击者在“通过哈希”攻击中收集的。然后，他们尝试对密码进行散列处理以访问访问者的登录名和密码。对任何简单的密码进行散列处理仅需2-4秒即可将其破解。

Bayne发现的是，可以通过特制的.theme文件执行攻击并更改桌面墙纸设置。这些用作远程身份验证所需的资源。 Windows尝试访问此远程身份验证所需的资源时，它将通过发送已登录帐户的NTLM哈希和登录名来自动尝试登录到共享。然后，攻击者可以获取这些凭据并使用特殊脚本对密码进行哈希处理。

Bayne建议为您保护恶意主题文件的方法是，将.theme，.themepack和.desktopthemepackfile扩展名阻止或重新关联到另一个程序。但是，如果不需要切换到另一个主题，则应使用它，因为这样做会破坏Windows 10主题功能。

为了防止任何NTLM凭据发送到远程主机，请配置名为“网络安全性：限制NTLM：将NTLM传出到远程服务器的流量”的组策略，并将其设置为“全部拒绝”。请注意，此配置可能会在使用远程共享的企业环境中带来问题。