Особливим чином сконфігуровані теми і пакети тем для Windows 10 можуть використовуватися зловмисниками для здійснення атаки Pass-the-Hash і непомітного викрадення облікових даних користувачів Windows.
Windows дозволяє користувачам створювати власні теми, самостійно вибирати кольори, звуки, вид курсора миші і шпалери. Користувачі також можуть перемикатися між темами, якщо захочеться змінити зовнішній вигляд операційної системи.
Налаштування для тем зберігаються у вигляді файлу з розширенням .theme. Темами можна обмінюватися з іншими користувачами, натиснувши правою кнопкою миші на активну тему і вибравши відповідну опцію. В такому випадку тема зберігається в файлі з розширенням .deskthemepack, який можна надіслати електронною поштою або завантажити на сайт. Для встановлення теми досить двічі кликнути на файл.
За словами дослідника безпеки Jimmy Bayne, особливим чином сконфігуровані теми для Windows можуть використовуватися для здійснення атаки Pass-the-Hash. Подібні атаки здійснюються з метою викрадення логінів і паролів. Для цього зловмисники повинні обманним шляхом змусити жертву використовувати протокол SMB, для чого буде потрібно аутентифікація.
[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q
— bohops (@bohops) September 5, 2020
Під час спроби доступу до віддаленого ресурсу Windows автоматично спробує авторизуватися в віддаленій системі шляхом надсилання логіна і NTLM-хеша пароля користувача. В атаці Pass-the-Hash облікові дані перехоплюються зловмисником, який потім може розшифрувати пароль.
У представленій дослідником атаці зловмисник може створити спеціальний файл із розширенням .theme і змінити налаштування шпалер робочого столу таким чином, щоб використовувався віддалений ресурс, який потребує аутентифікації.
Коли ОС спробує отримати доступ до віддаленого ресурсу, що вимагає аутентифікації, вона також автоматично спробує авторизуватися шляхом відправлення NTLM-хеша пароля і логіна користувача. Завдяки цьому зловмисник зможе перехопити облікові дані і розшифрувати пароль за допомогою спеціальних скриптів.
Бейн повідомив про проблему компанію Microsoft у нинішньому році, однак йому повідомили, що вона не підлягає виправленню, оскільки є “передбаченою функцією”.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як заблокувати небажаний контакт у Facebook? – ІНСТРУКЦІЯ
Як зупинити відстеження небажаними програмами Вашої точної геолокації? ІНСТРУКЦІЯ
Нове сімейство троянських шкідливих програм виявили фахівці з кібербезпеки. Загроза поширюється через шкідливі торенти та використовує численні прийоми, щоб отримати якомога більше криптовалюти від жертв, та при цьому уникнути виявлення.
Також компанії Apple і Google оголосили, що в майбутніх версіях операційних систем iOS і Android буде реалізована система відстеження поширення COVID-19, для використання якої раніше була потрібна установка окремого додатка.
Зверніть увагу, як з’ясували фахівці компанії Palo Alto Networks, найчастіше зловмисники імітують сайти Microsoft, Facebook, Netflix, PayPal, Apple, Royal Bank of Canada, LinkedIn, Google, Apple iCloud, Bank of America, Dropbox, Amazon і Instagram.
До речі, Apple випадково дозволила шкідливій програмі Shlayer працювати на macOS. Шкідливе ПЗ було замасковано під оновлення для Adobe Flash Player і пройшло необхідну верифікацію в Mac App Store.
Співробітники Mozilla провели нове дослідження, яке підтвердило, що історія переглядів браузера дозволяє ідентифікувати користувачів. Вони з’ясували, що більшість користувачів слідують звичними схемами перегляду веб-сторінок, і це дозволяє онлайн-рекламодавцям створювати їх точні профілі.
