拜恩通过特制的.theme文件显示了“通过哈希”攻击的可能性
安全研究员吉米·拜恩(Jimmy Bayne)本周末透露,使用某些特制的Windows 10主题存在“通过哈希”攻击的风险,从而使攻击者可以从不受怀疑的用户那里窃取Windows帐户凭据。
向寡妇的用户提供了一种创建自定义主题的功能,其中包含操作系统使用的颜色,声音,鼠标光标和墙纸。他们可以根据自己的选择在不同主题之间切换。主题的设置将另存为文件,位于%AppData%\ Microsoft \ Windows \ Themes文件夹下。
这样的文件末尾带有.theme扩展名。用户也可以共享这些主题。当他们右键单击活动主题并选择“保存以供共享”时,将以打包形式为他们提供主题,以通过电子邮件或在网站上下载进行共享。
“通过哈希”攻击者旨在窃取Windows登录名和密码哈希。为此,他们诱使人们访问需要身份验证的远程SMS共享。在Windows尝试访问远程资源的过程中,他们将通过发送Windows的用户名和密码的NTLM哈希值自动尝试登录到远程系统。
这些凭据是由攻击者在“通过哈希”攻击中收集的。然后,他们尝试对密码进行散列处理以访问访问者的登录名和密码。对任何简单的密码进行散列处理仅需2-4秒即可将其破解。
Bayne发现的是,可以通过特制的.theme文件执行攻击并更改桌面墙纸设置。这些用作远程身份验证所需的资源。 Windows尝试访问此远程身份验证所需的资源时,它将通过发送已登录帐户的NTLM哈希和登录名来自动尝试登录到共享。然后,攻击者可以获取这些凭据并使用特殊脚本对密码进行哈希处理。
Bayne建议为您保护恶意主题文件的方法是,将.theme,.themepack和.desktopthemepackfile扩展名阻止或重新关联到另一个程序。但是,如果不需要切换到另一个主题,则应使用它,因为这样做会破坏Windows 10主题功能。
为了防止任何NTLM凭据发送到远程主机,请配置名为“网络安全性:限制NTLM:将NTLM传出到远程服务器的流量”的组策略,并将其设置为“全部拒绝”。请注意,此配置可能会在使用远程共享的企业环境中带来问题。