Ils détectent une menace qui utilise des thèmes "préparés" dans Windows pour voler les mots de passe d'accès de notre ordinateur

Pouvoir changer l'apparence de nos équipements est l'un des aspects que les utilisateurs apprécient le plus. Changer la disposition de votre bureau est aussi simple que de télécharger et d'appliquer un thème. Et en fait, nous avons vu ici les thèmes et les conceptions que, par exemple, Microsoft lance périodiquement dans sa boutique d'applications.

"

Les thèmes et packs de thèmes Windows 10 offrent un grand nombre d&39;options et presque toutes sont sûres, en particulier celles publiées par Microsoft.Et nous nous référons presque toujours à cela lorsque nous parlons de sécurité, en raison de la découverte d&39;un chercheur qui a trouvé thèmes spécialement conçus pour voler nos mots de passe "

Attaques Pass-the-Hash

Les thèmes permettent de changer presque tous les aspects de notre bureau Couleurs, arrière-plans, icônes, curseur... presque tout peut être modifié par thèmes que nous téléchargeons ou que nous personnalisons nous-mêmes. Les thèmes créent une configuration qui est stockée dans le chemin AppData%\Microsoft\Windows\Themes en tant que fichier avec une extension .theme.

"

Le résultat, le fichier avec l&39;extension .theme, peut être partagé avec d&39;autres utilisateurs et c&39;est là que réside le problème découvert par le chercheur @bohops sur son compte Twitter. Thèmes spécialement conçus pour effectuer une attaque Pass-the-Hash (PtH) sur nos ordinateurs."

Attaques faciles à réaliser et à tel point que chez Bleeping Computer, ils ont suivi cette méthode et ont réussi à obtenir le mot de passe sans plus de complications.

Type d'attaque qui cherche à voler des informations d'identification afin d'accéder à d'autres composants du système dans le but de prendre le contrôle total de et accéder à tous les types d'informations que nous stockons et qui circulent via le système d'exploitation.

L'attaquant tente d'accéder et d'obtenir les identifiants de connexion sur l'ordinateur afin qu'une fois atteint, il puisse s'identifier sur d'autres ordinateurs connectés au réseau. Il s'agit d'accéder aux valeurs de hachage du mot de passe et ainsi pouvoir accéder à toutes sortes de services. Dans ce cas, il ne s'agit pas d'accéder au mot de passe en clair, mais plutôt au hash NTLM, ce qui facilite la réalisation de l'attaque.

Dans ce cas, ce fichier .theme modifié modifie les paramètres de sorte que le thème doit rechercher une ressource ou un fichier distant nécessitant une authentification. À ce stade, lorsque vous essayez d'accéder à ce fichier à distance, il essaie automatiquement de se connecter en envoyant le hachage NTLM et le nom d'utilisateur du compte Windows.

Dans cette situation, la solution recommandée par le découvreur de la menace est de ne pas télécharger ou installer les fichiers avec ces extensions, surtout lorsqu'ils proviennent de sites non fiables. Une autre mesure, plus extrême, consiste à bloquer toutes les extensions de fichiers .theme, .themepack. et .desktopthemepackfile, mais de cette façon nous ne pourrons pas changer les thèmes sur notre ordinateur.

Via | Ordinateur qui bipe