Windows에서 "준비된" 테마를 사용하여 컴퓨터의 액세스 암호를 도용하는 위협을 감지합니다.

장비의 외형을 변경할 수 있다는 점은 유저들이 가장 좋아하는 부분 중 하나입니다. 데스크톱 레이아웃 변경 테마를 다운로드하고 적용하는 것만큼 쉽습니다. 사실 여기서 우리는 예를 들어 Microsoft가 응용 프로그램 스토어에서 주기적으로 출시하는 테마와 디자인을 보았습니다.

"

Windows 10 테마 및 테마 팩은 많은 옵션을 제공하며 특히 Microsoft에서 출시한 테마는 거의 모두 안전합니다.그리고 우리는 비밀번호를 훔치기 위해 특별히 고안된 테마를 발견한 연구원의 발견으로 인해 보안에 대해 이야기할 때 거의 모든 것을 언급합니다. "

Pass-the-Hash 공격

테마를 사용하면 바탕 화면의 거의 모든 측면을 변경할 수 있습니다. 색상, 배경, 아이콘, 커서... 거의 모든 것을 수정할 수 있습니다. 다운로드하거나 사용자 지정하는 테마. 테마는 AppData%\Microsoft\Windows\Themes 경로에 .theme 확장자를 가진 파일로 저장되는 구성을 생성합니다.

"

결과 .theme 확장자를 가진 파일은 다른 사용자와 공유할 수 있으며 여기에서 연구원 @bohops가 자신의 트위터 계정에서 발견한 문제가 있습니다. Google 컴퓨터에서 Pass-the-Hash(PtH) 공격을 수행하도록 특별히 패키지된 테마."

수행하기 쉬운 공격이며 Bleeping Computer에서 그들은 이 방법을 따랐고 추가 복잡함 없이 암호를 얻을 수 있었습니다.

다른 시스템 구성 요소에 대한 액세스 권한을 얻기 위해 인증 정보를 훔치는 공격 유형 우리가 저장하고 운영 체제를 통해 순환하는 모든 유형의 정보에 대한 액세스.

공격자는 네트워크에 연결된 다른 컴퓨터에서 자신을 식별할 수 있도록 컴퓨터의 로그인 자격 증명에 액세스하고 이를 얻으려고 시도합니다. 비밀번호의 해시 값에 접근하는 문제입니다 이런 식으로 모든 종류의 서비스에 접근할 수 있습니다. 이 경우 일반 텍스트로 암호에 액세스하는 것이 아니라 공격을 더 쉽게 수행할 수 있는 NTLM 해시가 문제입니다.

이 경우 이 수정된 .theme 파일은 설정을 변경하는 것입니다. 테마가 리소스 또는 인증이 필요한 원격 파일. 해당 파일에 원격으로 액세스하려고 하면 NTLM 해시와 Windows 계정 사용자 이름을 전송하여 자동으로 로그인을 시도합니다.

이 상황에서 위협 발견자가 권장하는 해결 방법은 이러한 확장자를 가진 파일을 다운로드하거나 설치하지 마십시오, 특히 신뢰할 수 없는 사이트에서 온 경우. 더 극단적인 또 다른 방법은 모든 .theme, .themepack 파일 확장자를 차단하는 것입니다. 및 .desktopthemepackfile, 그러나 이 방법으로 컴퓨터의 테마를 변경할 수 없습니다.

통해 | 블리핑 컴퓨터