Descubren en Windows 10 un tema que roba la contraseña de inicio de sesión

Una investigación encontró que un tema de aspecto para Windows 10 es capaz de sustraer la contraseña de inicio de sesión

El investigador de seguridad Jimmy Bayme, que utiliza en Twitter el usuario @bohops, descubrió que hay temas de Windows 10 especiales que han sido usados para ejecutar ataques "Pass-the-Hash".

¡Cuidado con los temas que descargues para Windows!

- Este tipo de ataques enmascarados como un tema de Windows sirven para robar nombres de inicio de sesión de Windows y los hashes correspondientes de la contraseña, básicamente lo que hacen es engañar al usuario para acceder a un servidor remoto que requiera autenticación.

En estos ataques, solo se crea un archivo .theme, la extensión utilizada para los archivos de tema de Windows, y modificar el ajuste para el wallpaper de forma que necesite usar un recurso alojado de forma remota para solicitar la autenticación.

-

[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q

— bohops (@bohops) September 5, 2020

Básicamente, los temas de Windows 10 cuentan con varios parámetros para modificar el estilo de del escritorio, como es el caso de los colores y el fondo de pantalla; cuando el tema utiliza un recurso que esté almacenado de forma remota, como podría ser un wallpaper, forzará a Windows para intentar acceder a ese recurso almacenado en un servidor fuera de la PC, por lo que de forma automática iniciará sesión enviando el hash NTLM y el nombre de usuario de la cuenta de Windows.

El ataque Pass-the-hash no requiere la contraseña como tal, con el hash NTLM del password del usuario es suficiente,de esta forma no es necesario el uso de la fuerza bruta para obtener la contraseña, facilitando así el robo. En ese momento el atacante tendrá acceso a las credenciales y puede intentar hacer dehash de la contraseña usando scripts especiales.

- El investigador reportó su descubrimiento a Microsoft a principios del año pero no hubo solución debido a que se trata de una característica por diseño, por lo que sólo queda bloquear todas las extensiones de archivo .theme, .themepack. y .desktopthemepackfile, elementos que conflictúan las funciones de temas en Windows 10 e impide al usuario poder cambiar de tema.

tema

Síguenos en Facebook y entérate de las noticias trend de la semana

-