安全研究人员警告 Windows 10 定制主题可被用于窃取用户凭证

Bleeping Computer 援引安全研究员 Jimmy Bayne 的 Twitter 爆料称：Windows 10 的主题设置存在漏洞，恶意行为者可创建特定的主题来实施“哈希传递”（Pass-the-Hash）攻击，从而窃取用户的凭证。具体说来是，可安装与其它来源分离的主题功能，使得攻击者能够创建恶意主题文件，从而在文件打开时将用户重定向至需要输入其凭据的页面。

http://hackernews.cc/wp-content/uploads/2020/09/ac09e9d232207c2.png

据悉，只需在桌面右键点击，即可引导至“个性化 -> 主题”设置页面。用户可接着点击“保存要分享的主题”，从而创建一个名为“.deskthemepack”的文件。

http://hackernews.cc/wp-content/uploads/2020/09/37348179c2f9676.png

该方式创建的自定义主题，可通过电子邮件等渠道进行分享、下载和安装。攻击者亦可创建一个类似的“.theme”主题文件，但其中默认的壁纸设置可指向需要身份验证的网站。

http://hackernews.cc/wp-content/uploads/2020/09/7ce17adeed53f95.png

当粗心的用户不慎输入其凭据时，包含详细信息的 NTLM 哈希值将被发送到站点进行身份验证，而后攻击者就能够通过特殊的逆运算软件来暴力破解非复杂的密码。

http://hackernews.cc/wp-content/uploads/2020/09/06dd717c08f8897.jpg

作为应对，Bleeping Computer 想到了通过组策略进行一些限制，以阻止将 NTLM 哈希凭证发送到远程主机。只是对于企业用户来说，这么做可能会干扰到正常的身份验证。

http://hackernews.cc/wp-content/uploads/2020/09/eee0b19042dcd16.png

Bayne 补充道，其已将这些发现披露给微软安全响应中心（MSRC）。可惜由于这是一项“设计特性”，该 bug 并未得到修复。

至于软件巨头是否会在后续正式修复、或调整主题文件结构以防止不良利用行为，目前暂不得而知。

（稿源：cnBeta，封面源自网络。）