Пользовательские темы для Windows могут похитить ваши данные

У Windows есть собственный магазин тем, а также возможность использовать кастомные, созданные пользователями темы оформления системы. При этом своб созданную тему можно отправить любому желающему, упаковав его в файл с расширением .theme

Исследователь в области кибербезопасности Джимми Бейн обнаружил, что пользовательские темы могут передавать злоумышленникам пароли жертвы, по так называемой “Pass the hash” атаке.

Как работает атака:

  1. Пользователь устанавливает “кастомную” тему, которая берет оформление из стороннего ресурса.
  2. Установленное оформление подгружает окно авторизации (требует указать данные учетной записи).
  3. Жертва вводит свои данные, а на сайт отправляется NTLM-хеш.
  4. Злоумышленник получает пользовательские данные, дешифруя NTLM-хеш через специальное ПО.

Уязвимость не считается популярной — немногие пользователи используют темы на своих рабочих станциях и тем более не оформляют свои Windows VPS. Но, если вы администрируете парк устройств внутри организации, то мы все же рекомендуем дополнительно ограничить отправку хешированных учетных данных NTLM с помощью настройки групповых политик в Windows.