研究人員發(fā)現(xiàn)精心偽造的Windows 10 主題和主題包可以用于Pass-the-Hash 攻擊中，以從受害者處竊取Windows 賬號憑證。

Windows 10主題簡介

Windows 系統(tǒng)允許用戶創(chuàng)建含有定制顏色、聲音、鼠標(biāo)操作和墻紙的定制主題供操作系統(tǒng)使用。然后，Windows用戶可以在不同的主題之間進(jìn)行選擇，以修改操作系統(tǒng)的外觀。

主題的設(shè)置保存在%AppData%MicrosoftWindowsThemes 文件夾中一個 .theme 擴(kuò)展的文件中，比如Custom Dark.theme。

windows 10主題文件

用戶還可以右鍵選擇活動主題并選擇‘Save theme for sharing’ 將當(dāng)前主題分享給其他用戶，此時會將主題打包為一個 ‘.deskthemepack’ 文件。

然后可以通過郵件或下載的方式分析桌面主題包，并雙擊安裝。

利用定制主題文件竊取Windows憑證

上周末，安全研究人員Jimmy Bayne （@bohops） 發(fā)現(xiàn)精心偽造的Windows 主題可以用來執(zhí)行Pass-the-Hash 攻擊。

Pass-the-Hash攻擊是通過誘使用戶訪問需要認(rèn)證的遠(yuǎn)程SMB共享來竊取Windows 登錄名和密碼哈希值的一種攻擊方式。

當(dāng)訪問遠(yuǎn)程資源時，Windows會通過發(fā)送Windows 用戶登陸名和密碼的NTLM 哈希值的方式來自動登陸遠(yuǎn)程系統(tǒng)。

在Pass-the-Hash 攻擊中，發(fā)送的憑證會被攻擊者獲取，然后攻擊者可以對密碼哈希值解哈希獲得密碼，用于訪問受害者的用戶名和密碼登陸。

BleepingComputer測試發(fā)現(xiàn)，只需要4秒鐘就可以破解簡單的密碼哈希值。

4秒鐘破解NTLM哈希值

在Bayne 發(fā)現(xiàn)的新方法中，攻擊者可以創(chuàng)建一個精心偽造的 .theme 文件，修改桌面墻紙設(shè)置為使用需要遠(yuǎn)程認(rèn)證的源，如下圖所示：

惡意Windows主題文件

當(dāng)Windows 嘗試訪問需要認(rèn)證的遠(yuǎn)程資源時，就會通過發(fā)送當(dāng)前登入賬戶的NTLM 哈希和登錄名來自動登入遠(yuǎn)程共享。

自動登入遠(yuǎn)程共享文件

然后，攻擊者就可以獲取憑證，并通過特殊的腳本來將NTLM 哈希值轉(zhuǎn)化為明文，如下所示：

獲取Windows憑證

Pass-the-Hash攻擊會發(fā)送用戶登入Windows系統(tǒng)的賬戶，包括微軟賬戶，因此此類攻擊的潛在危害很大。

而且微軟開始將本地windows 10賬戶遷移到微軟賬戶，遠(yuǎn)程攻擊者利用這種攻擊可以輕松地訪問微軟提供的遠(yuǎn)程服務(wù)，其中包括郵箱、Azure以及遠(yuǎn)程企業(yè)網(wǎng)絡(luò)等。

Bayne稱今年初就將該漏洞提交給了微軟，但微軟稱這屬于“feature by design”，因此不會修復(fù)。

如何應(yīng)對惡意主題文件

Bayne建議用戶攔截或重新關(guān)聯(lián).theme、.themepack和 .desktopthemepackfile擴(kuò)展到其他的應(yīng)用程序，這樣做可以打破Windows 10主題特征。此外，Windows 用戶還可以配置一個名為‘Network security： Restrict NTLM： Outgoing NTLM traffic to remote servers’ 的組策略為‘Deny All’，這可以預(yù)防NTLM 哈希值被發(fā)送到遠(yuǎn)程主機(jī)。但配置看你會引發(fā)企業(yè)環(huán)境中使用遠(yuǎn)程共享的一些問題。

最后，BleepingComputer 建議用戶對微軟賬戶開啟多因子認(rèn)證來預(yù)防攻擊者成功竊取憑證后遠(yuǎn)程訪問。
責(zé)編AJX