Se puede abusar de los temas de Windows 10 para robar contraseñas de Windows

Iniciado por AXCESS, Septiembre 09, 2020, 07:11:52 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los temas y paquetes de temas de Windows 10 especialmente diseñados se pueden usar en ataques 'Pass-the-Hash' para robar las credenciales de la cuenta de Windows de usuarios desprevenidos.

Windows permite a los usuarios crear temas personalizados que contienen colores, sonidos, cursores del mouse y el fondo de pantalla que usará el sistema operativo.

Los usuarios de Windows pueden cambiar entre diferentes temas según lo deseen para cambiar la apariencia del sistema operativo.

La configuración de un tema se guarda en la carpeta% AppData% \ Microsoft \ Windows \ Themes como un archivo con una extensión .theme, como 'Custom Dark.theme'.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los temas de Windows se pueden compartir con otros usuarios haciendo clic con el botón derecho en un tema activo y seleccionando 'Guardar tema para compartir', que empaquetará el tema en un archivo '.deskthemepack'.

Estos paquetes de temas de escritorio se pueden compartir por correo electrónico o como descargas en sitios web, e instalarlos haciendo doble clic en ellos.

Se pueden usar temas personalizados para robar contraseñas de Windows


Este fin de semana, el investigador de seguridad Jimmy Bayne (@bohops) reveló que los temas de Windows especialmente diseñados podrían usarse para realizar ataques Pass-the-Hash.

Los ataques Pass-the-Hash se utilizan para robar nombres de inicio de sesión de Windows y hash de contraseña engañando a un usuario para que acceda a un recurso compartido SMB remoto que requiere autenticación.

Al intentar acceder al recurso remoto, Windows intentará iniciar sesión automáticamente en el sistema remoto enviando el nombre de inicio de sesión del usuario de Windows y un hash NTLM de su contraseña.

En un ataque Pass-the-Hash, los atacantes recopilan las credenciales enviadas, que luego intentan eliminar la contraseña para acceder al nombre de usuario y la contraseña de los visitantes.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En el nuevo método descubierto por Bayne, un atacante puede crear un archivo .theme especialmente diseñado y cambiar la configuración del papel tapiz del escritorio para usar un recurso requerido de autenticación remota, como el que se muestra a continuación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando Windows intenta acceder al recurso requerido de autenticación remota, automáticamente intentará iniciar sesión en el recurso compartido enviando el hash NTLM y el nombre de inicio de sesión para el que inició sesión en una cuenta.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Luego, el atacante puede recopilar las credenciales y eliminar la contraseña utilizando scripts especiales, por lo que está en su forma de texto sin cifrar.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como los ataques Pass-the-Hash enviarán la cuenta utilizada para iniciar sesión en Windows, incluida una cuenta de Microsoft, este tipo de ataque se está volviendo más problemático.

Dado que Microsoft se alejó de las cuentas locales de Windows 10 y se acercó a las cuentas de Microsoft, los atacantes remotos pueden usar este ataque para acceder más fácilmente a una gran cantidad de servicios remotos ofrecidos por Microsoft.

Esto incluye la posibilidad de acceder al correo electrónico, Azure o las redes corporativas accesibles de forma remota.

Bayne declaró que le reveló este ataque a Microsoft a principios de este año, pero le dijeron que no se solucionaría ya que es una "característica por diseño".

Protección contra archivos de temas maliciosos

Para protegerse contra archivos de temas maliciosos, Bayne aconseja que bloquee o vuelva a asociar las extensiones .theme, .themepack y .desktopthemepackfile a un programa diferente.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, si lo hace, se romperá la función Temas de Windows 10, por lo que solo úsela si no necesita cambiar a otro tema.

Los usuarios de Windows pueden configurar una política de grupo llamada 'Seguridad de red: Restringir NTLM: tráfico NTLM saliente a servidores remotos' y configurarlo en 'Denegar todo' para evitar que sus credenciales NTLM se envíen a hosts remotos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tenga en cuenta que configurar esta opción puede causar problemas en entornos empresariales que utilizan recursos compartidos remotos.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta