研究人员发现,精心伪造的Windows10主题和主题包可用于哈希传递攻击,以窃取受害者的Windows帐户凭据。Windows10主题简介Windows系统允许用户创建具有自定义颜色、声音、鼠标操作和壁纸的自定义主题,以供操作系统使用。Windows用户随后可以选择不同的主题来修改操作系统的外观。修改Windows主题主题设置存储在一个扩展名为.theme的文件中,例如CustomDark.theme,位于%AppData%\Microsoft\Windows\Themes文件夹中。Windows10主题文件用户还可以右键单击活动主题并选择“保存主题以供共享”,将当前主题共享给其他用户,主题将被打包为“.deskthemepack”文件。然后可以通过邮箱或者下载解析桌面主题包,双击安装。使用自定义主题文件窃取Windows凭据上周末,安全研究员JimmyBayne(@bohops)发现精心制作的Windows主题可用于执行哈希传递攻击。哈希传递攻击是一种通过诱使用户访问需要身份验证的远程SMB共享来窃取Windows登录名和密码哈希的攻击。当访问远程资源时,Windows通过发送Windows用户登录名和密码的NTLM散列自动登录到远程系统。在Pass-the-Hash攻击中,攻击者获得发送的凭据,然后攻击者可以对密码哈希进行dehash以获得密码,该密码用于访问受害者的用户名和密码登录。BleepingComputer测试发现破解一个简单的密码哈希只需要4秒。在4秒内破解NTLM哈希在Bayne发现的新方法中,攻击者可以创建一个精心伪造的.theme文件,修改桌面墙纸设置以使用需要远程身份验证的源,如下图所示:当Windows尝试访问需要身份验证的远程资源时,它会通过发送当前登录帐户的NTLM哈希和登录名自动登录到远程共享。自动登录远程共享文件然后,攻击者可以获得凭据并使用特殊脚本将NTLM哈希值转换为明文,如下所示:获取Windows凭据哈希传递攻击将发送用户登录到Windows系统的账户,包括微软账户,所以这种攻击的潜在危害性很高。而且,微软已经开始将本地Windows10账户迁移至微软账户。远程攻击者可以利用这种攻击轻松访问微软提供的远程服务,包括邮箱、Azure和远程企业网络。Bayne表示,该漏洞已于今年早些时候提交给微软,但微软表示这是一个“设计特性”,因此不会修复。如何处理恶意主题文件Bayne建议用户阻止或将.theme、.themepack和.desktopthemepack文件扩展名重新关联到其他应用程序,这可能会破坏Windows10主题功能。此外,Windows用户还可以将名为“网络安全:限制NTLM:到远程服务器的传出NTLM流量”的组策略配置为“全部拒绝”,以防止将NTLM哈希发送到远程主机。但是在企业环境中使用远程共享时,查看配置可能会导致一些问题。最后,BleepingComputer建议用户为微软账户启用多重身份验证,以防止攻击者成功窃取凭据后进行远程访问。
