研究人員發(fā)現精心偽造的Windows 10 主題和主題包可以用于Pass-the-Hash 攻擊中，以從受害者處竊取Windows 賬號憑證。

Windows 10主題簡介

Windows 系統(tǒng)允許用戶創(chuàng)建含有定制顏色、聲音、鼠標操作和墻紙的定制主題供操作系統(tǒng)使用。然后，Windows用戶可以在不同的主題之間進行選擇，以修改操作系統(tǒng)的外觀。

主題的設置保存在%AppData%MicrosoftWindowsThemes 文件夾中一個 .theme 擴展的文件中，比如Custom Dark.theme。

windows 10主題文件

用戶還可以右鍵選擇活動主題并選擇‘Save theme for sharing’ 將當前主題分享給其他用戶，此時會將主題打包為一個 ‘.deskthemepack’ 文件。

然后可以通過郵件或下載的方式分析桌面主題包，并雙擊安裝。

利用定制主題文件竊取Windows憑證

上周末，安全研究人員Jimmy Bayne （@bohops） 發(fā)現精心偽造的Windows 主題可以用來執(zhí)行Pass-the-Hash 攻擊。

Pass-the-Hash攻擊是通過誘使用戶訪問需要認證的遠程SMB共享來竊取Windows 登錄名和密碼哈希值的一種攻擊方式。

當訪問遠程資源時，Windows會通過發(fā)送Windows 用戶登陸名和密碼的NTLM 哈希值的方式來自動登陸遠程系統(tǒng)。

在Pass-the-Hash 攻擊中，發(fā)送的憑證會被攻擊者獲取，然后攻擊者可以對密碼哈希值解哈希獲得密碼，用于訪問受害者的用戶名和密碼登陸。

BleepingComputer測試發(fā)現，只需要4秒鐘就可以破解簡單的密碼哈希值。

4秒鐘破解NTLM哈希值

在Bayne 發(fā)現的新方法中，攻擊者可以創(chuàng)建一個精心偽造的 .theme 文件，修改桌面墻紙設置為使用需要遠程認證的源，如下圖所示：

惡意Windows主題文件

當Windows 嘗試訪問需要認證的遠程資源時，就會通過發(fā)送當前登入賬戶的NTLM 哈希和登錄名來自動登入遠程共享。

自動登入遠程共享文件

然后，攻擊者就可以獲取憑證，并通過特殊的腳本來將NTLM 哈希值轉化為明文，如下所示：

獲取Windows憑證

Pass-the-Hash攻擊會發(fā)送用戶登入Windows系統(tǒng)的賬戶，包括微軟賬戶，因此此類攻擊的潛在危害很大。

而且微軟開始將本地windows 10賬戶遷移到微軟賬戶，遠程攻擊者利用這種攻擊可以輕松地訪問微軟提供的遠程服務，其中包括郵箱、Azure以及遠程企業(yè)網絡等。

Bayne稱今年初就將該漏洞提交給了微軟，但微軟稱這屬于“feature by design”，因此不會修復。

如何應對惡意主題文件

Bayne建議用戶攔截或重新關聯.theme、.themepack和 .desktopthemepackfile擴展到其他的應用程序，這樣做可以打破Windows 10主題特征。此外，Windows 用戶還可以配置一個名為‘Network security： Restrict NTLM： Outgoing NTLM traffic to remote servers’ 的組策略為‘Deny All’，這可以預防NTLM 哈希值被發(fā)送到遠程主機。但配置看你會引發(fā)企業(yè)環(huán)境中使用遠程共享的一些問題。

最后，BleepingComputer 建議用戶對微軟賬戶開啟多因子認證來預防攻擊者成功竊取憑證后遠程訪問。
責編AJX