最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • Win 10主题可以用来窃取密码,微软拒绝修复

    研究人员发现精心伪造的Windows 10 主题和主题包可以用于Pass-the-Hash 攻击中,以从受害者处窃取Windows 账号凭证。

    Windows 10主题简介

    Windows 系统允许用户创建含有定制颜色、声音、鼠标操作和墙纸的定制主题供操作系统使用。然后,Windows用户可以在不同的主题之间进行选择,以修改操作系统的外观。

    Win 10主题可以用来窃取密码,微软拒绝修复

    修改Windows主题

    主题的设置保存在%AppData%MicrosoftWindowsThemes 文件夹中一个 .theme 扩展的文件中,比如Custom Dark.theme。

    Win 10主题可以用来窃取密码,微软拒绝修复

    windows 10主题文件

    用户还可以右键选择活动主题并选择'Save theme for sharing' 将当前主题分享给其他用户,此时会将主题打包为一个 '.deskthemepack' 文件。

    然后可以通过邮件或下载的方式分析桌面主题包,并双击安装。

    利用定制主题文件窃取Windows凭证

    上周末,安全研究人员Jimmy Bayne (@bohops) 发现精心伪造的Windows 主题可以用来执行Pass-the-Hash 攻击。

    Pass-the-Hash攻击是通过诱使用户访问需要认证的远程SMB共享来窃取Windows 登录名和密码哈希值的一种攻击方式。

    当访问远程资源时,Windows会通过发送Windows 用户登陆名和密码的NTLM 哈希值的方式来自动登陆远程系统。

    在Pass-the-Hash 攻击中,发送的凭证会被攻击者获取,然后攻击者可以对密码哈希值解哈希获得密码,用于访问受害者的用户名和密码登陆。

    BleepingComputer测试发现,只需要4秒钟就可以破解简单的密码哈希值。

    Win 10主题可以用来窃取密码,微软拒绝修复

    4秒钟破解NTLM哈希值

    在Bayne 发现的新方法中,攻击者可以创建一个精心伪造的 .theme 文件,修改桌面墙纸设置为使用需要远程认证的源,如下图所示:

    Win 10主题可以用来窃取密码,微软拒绝修复

    恶意Windows主题文件

    当Windows 尝试访问需要认证的远程资源时,就会通过发送当前登入账户的NTLM 哈希和登录名来自动登入远程共享。

    Win 10主题可以用来窃取密码,微软拒绝修复

    自动登入远程共享文件

    然后,攻击者就可以获取凭证,并通过特殊的脚本来将NTLM 哈希值转化为明文,如下所示:

    Win 10主题可以用来窃取密码,微软拒绝修复

    获取Windows凭证

    Pass-the-Hash攻击会发送用户登入Windows系统的账户,包括微软账户,因此此类攻击的潜在危害很大。

    而且微软开始将本地windows 10账户迁移到微软账户,远程攻击者利用这种攻击可以轻松地访问微软提供的远程服务,其中包括邮箱、Azure以及远程企业网络等。

    Bayne称今年初就将该漏洞提交给了微软,但微软称这属于"feature by design",因此不会修复。

    如何应对恶意主题文件

    Bayne建议用户拦截或重新关联.theme、.themepack和 .desktopthemepackfile扩展到其他的应用程序,这样做可以打破Windows 10主题特征。此外,Windows 用户还可以配置一个名为'Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers' 的组策略为'Deny All',这可以预防NTLM 哈希值被发送到远程主机。但配置看你会引发企业环境中使用远程共享的一些问题。

    最后,BleepingComputer 建议用户对微软账户开启多因子认证来预防攻击者成功窃取凭证后远程访问。

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » Win 10主题可以用来窃取密码,微软拒绝修复

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 699会员总数(位)
    • 5250资源总数(个)
    • 92本周发布(个)
    • 12 今日发布(个)
    • 212稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情