Sie erkennen eine Bedrohung, die „vorbereitete“ Themen in Windows verwendet, um die Zugangskennwörter unseres Computers zu stehlen

Die Möglichkeit, das Erscheinungsbild unserer Geräte zu ändern, ist einer der Aspekte, die den Benutzern am besten gefallen. Das Ändern Ihres Desktop-Layouts ist so einfach wie das Herunterladen und Anwenden eines Designs. Und tatsächlich haben wir hier die Themen und Designs gesehen, die zum Beispiel Microsoft regelmäßig in seinem Anwendungsspeicher veröffentlicht hat.

"

Windows 10-Designs und Designpakete bieten eine große Anzahl von Optionen und fast alle davon sind sicher, insbesondere die von Microsoft veröffentlichten.Und wir beziehen uns fast immer darauf, wenn wir über Sicherheit sprechen, aufgrund der Entdeckung eines Forschers, der speziell entwickelte Themen gefunden hat, um unsere Passwörter zu stehlen "

Pass-the-Hash-Angriffe

Designs ermöglichen fast jeden Aspekt unseres Desktops zu ändern Farben, Hintergründe, Symbole, Cursor... fast alles kann geändert werden Themen, die heruntergeladen werden oder die wir selbst anpassen. Designs erstellen eine Konfiguration, die im Pfad AppData%\Microsoft\Windows\Themes als Datei mit der Erweiterung .theme gespeichert wird.

"

Das Ergebnis, die Datei mit der Erweiterung .theme, kann mit anderen Benutzern geteilt werden und genau hier liegt das Problem, das der Forscher @bohops auf seinem Twitter-Account entdeckt hat. Designs, die speziell gepackt wurden, um einen Pass-the-Hash (PtH)-Angriff auf unsere Computer durchzuführen."

Einfach durchzuführende Angriffe und so sehr, dass sie bei Bleeping Computer dieser Methode gefolgt sind und es geschafft haben, das Passwort ohne weitere Komplikationen zu erh alten.

Ein Angriffstyp, der darauf abzielt, Zugangsdaten zu stehlen, um Zugriff auf andere Systemkomponenten zu erlangen mit dem Ziel, die vollständige Kontrolle über diese zu erlangen it und Zugriff auf alle Arten von Informationen, die wir speichern und die über das Betriebssystem zirkulieren.

Der Angreifer versucht, auf die Anmeldedaten des Computers zuzugreifen und diese abzurufen, damit er sich nach Erh alt auf anderen mit dem Netzwerk verbundenen Computern identifizieren kann. Es geht darum, auf die Hash-Werte des Passworts zuzugreifen und auf diese Weise auf alle Arten von Diensten zugreifen zu können. In diesem Fall geht es nicht darum, das Passwort im Klartext abzurufen, sondern den NTLM-Hash, der den Angriff erleichtert.

In diesem Fall ändert diese modifizierte .theme-Datei lediglich die Einstellungen, sodass das Theme nach einer Ressource oder einem suchen muss entfernte Datei, die eine Authentifizierung erfordert. An diesem Punkt, wenn Sie versuchen, remote auf diese Datei zuzugreifen, wird automatisch versucht, sich anzumelden, indem der NTLM-Hash und der Benutzername des Windows-Kontos gesendet werden.

In dieser Situation besteht die vom Entdecker der Bedrohung empfohlene Lösung insbesondere darin, Dateien mit diesen Erweiterungen nicht herunterzuladen oder zu installieren wenn Sie von nicht vertrauenswürdigen Seiten kommen. Eine weitere, extremere Maßnahme besteht darin, alle Dateierweiterungen .theme, .themepack zu blockieren. und .desktopthemepackfile, aber auf diese Weise können wir die Designs auf unserem Computer nicht ändern.

Über | Computer piepst