보안 연구원의 새로운 발견 지미 베인 트위터에서이를 공개 한은 사용자의 자격 증명을 훔치는 데 사용할 수있는 Windows 10 테마 엔진의 취약점을 공개했습니다. 특수한 기형 테마를 열면 사용자에게 자격 증명을 입력하라는 메시지가 표시되는 페이지로 사용자를 리디렉션합니다.
광고
내 컴퓨터 hp는 몇 살이야
이미 알고 계시 겠지만 Windows 테마 공유 허용 설정에서. 설정> 개인 설정> 테마를 연 다음 '를 선택하여 수행 할 수 있습니다.공유를 위해 테마 저장
'메뉴에서. 이것은 새로운 *.deskthemepack 파일
사용자가 인터넷에 업로드하거나 이메일을 통해 전송하거나 다양한 방법을 통해 다른 사람과 공유 할 수 있습니다. 다른 사용자는 이러한 파일을 다운로드하여 한 번의 클릭으로 설치할 수 있습니다.
공격자는 마찬가지로 기본 배경 화면 설정이 인증이 필요한 웹 사이트를 가리키는‘.theme’파일을 만들 수 있습니다. 의심하지 않는 사용자가 자격 증명을 입력하면 인증을 위해 세부 정보의 NTLM 해시가 사이트로 전송됩니다. 그런 다음 특수 해싱 해제 소프트웨어를 사용하여 복잡하지 않은 암호를 크랙합니다.
[Credential Harvesting Trick] Windows .theme 파일을 사용하여 Wallpaper 키가 원격 인증이 필요한 http / s 리소스를 가리 키도록 구성 할 수 있습니다. 사용자가 테마 파일을 활성화하면 (예 : 링크 / 첨부 파일에서 열림) Windows cred 프롬프트가 사용자에게 표시됩니다.
* .theme 파일이란 무엇입니까?
기술적으로 * .theme 파일은 Windows가 찾은 지침에 따라 OS의 모양을 읽고 변경하는 여러 섹션을 포함하는 * .ini 파일입니다. 테마 파일은 강조 색상, 적용 할 배경 화면 및 기타 몇 가지 옵션을 지정합니다.
하드 드라이브의 rpm을 확인하는 방법
섹션 중 하나는 다음과 같습니다.
[제어판 데스크톱]
배경 화면 = % WinDir % web wallpaper Windows img0.jpg
사용자가 테마를 설치할 때 적용되는 기본 배경 화면을 지정합니다. 로컬 경로 대신 연구원을 가리키며 사용자가 자신의 자격 증명을 입력하도록하는 데 사용할 수있는 원격 리소스로 설정할 수 있습니다. 배경 화면 키는 .theme 파일의 'Control Panel Desktop'섹션 아래에 있습니다. 다른 키도 동일한 방식으로 사용될 수 있으며 이는 원격 파일 위치에 대해 설정 될 때 netNTLM 해시 공개에도 작동 할 수 있다고 Jimmy Bayne은 말합니다.
연구원은 제공합니다 문제를 완화하는 방법.
방어적인 관점에서 'theme', 'themepack', 'desktopthemepackfile'확장을 차단 / 재 연결 / 탐색합니다. 브라우저에서 사용자는 열기 전에 확인해야합니다. 최근 몇 년 동안 다른 CVE 취약점이 공개되었으므로이를 해결하고 완화 할 가치가 있습니다.
출처: 네오 윈