Windows 10 temaer kan stjele brukernavn og passord

Det er skremmende lett å lure til seg brukernavn og passord.

Svært svak sikkerhet i tema-filer til Windows

Windows 10 gir nemlig mulighet til å dele temaer. Vi vet ikke hvor populært det er å laste ned nye fra nettet (last ned Microsofts offisielle), vi har aldri gjort det selv, men uansett om det er en populær greie eller ikke er det faktisk veldig enkelt for hackeren å misbruke funksjonen.

Årsaken er at en .theme-fil kan modifiseres til å peke til hackerens server som igjen varsler brukeren om å taste inn brukernavn og passord i form av en Windows-dialogboks.

[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q

— bohops (@bohops) September 5, 2020

Tema-filer lagres i mappen “%AppData%\Microsoft\Windows\Themes“.

Microsoft er kjent over muligheten, men sier at .theme-filer er bygget på denne måten med vilje. Det er mulig, for det er enkelt å dele temaene, men det bør jo legges på et par sikkerhetslag her.

Du kan selv blokkere installasjon av .theme, .themepack og .desktopthemepackfile. En annen mulighet er å forby all trafikk for regelen “Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers”. Da får ikke Windows lov å sende NTML-pålogginger til eksterne servere.

Kilde:
Bleeping Computer