研究人員發(fā)現(xiàn)精心偽造的Windows 10主題和主題包可以用于Pass-the-Hash攻擊中,以從受害者處竊取Windows賬號(hào)憑證。
Windows 10主題簡(jiǎn)介
Windows系統(tǒng)允許用戶創(chuàng)建含有定制顏色、聲音、鼠標(biāo)操作和墻紙的定制主題供操作系統(tǒng)使用。然后,Windows用戶可以在不同的主題之間進(jìn)行選擇,以修改操作系統(tǒng)的外觀。
修改Windows主題
主題的設(shè)置保存在%AppData%MicrosoftWindowsThemes文件夾中一個(gè).theme擴(kuò)展的文件中,比如Custom Dark.theme。
windows 10主題文件
用戶還可以右鍵選擇活動(dòng)主題并選擇'Save theme for sharing'將當(dāng)前主題分享給其他用戶,此時(shí)會(huì)將主題打包為一個(gè)'.deskthemepack'文件。
然后可以通過(guò)郵件或下載的方式分析桌面主題包,并雙擊安裝。
利用定制主題文件竊取Windows憑證
上周末,安全研究人員Jimmy Bayne( bohops)發(fā)現(xiàn)精心偽造的Windows主題可以用來(lái)執(zhí)行Pass-the-Hash攻擊。
Pass-the-Hash攻擊是通過(guò)誘使用戶訪問(wèn)需要認(rèn)證的遠(yuǎn)程SMB共享來(lái)竊取Windows登錄名和密碼哈希值的一種攻擊方式。
當(dāng)訪問(wèn)遠(yuǎn)程資源時(shí),Windows會(huì)通過(guò)發(fā)送Windows用戶登陸名和密碼的NTLM哈希值的方式來(lái)自動(dòng)登陸遠(yuǎn)程系統(tǒng)。
在Pass-the-Hash攻擊中,發(fā)送的憑證會(huì)被攻擊者獲取,然后攻擊者可以對(duì)密碼哈希值解哈希獲得密碼,用于訪問(wèn)受害者的用戶名和密碼登陸。
BleepingComputer測(cè)試發(fā)現(xiàn),只需要4秒鐘就可以破解簡(jiǎn)單的密碼哈希值。
4秒鐘破解NTLM哈希值
在Bayne發(fā)現(xiàn)的新方法中,攻擊者可以創(chuàng)建一個(gè)精心偽造的.theme文件,修改桌面墻紙?jiān)O(shè)置為使用需要遠(yuǎn)程認(rèn)證的源,如下圖所示:
惡意Windows主題文件
當(dāng)Windows嘗試訪問(wèn)需要認(rèn)證的遠(yuǎn)程資源時(shí),就會(huì)通過(guò)發(fā)送當(dāng)前登入賬戶的NTLM哈希和登錄名來(lái)自動(dòng)登入遠(yuǎn)程共享。
自動(dòng)登入遠(yuǎn)程共享文件
然后,攻擊者就可以獲取憑證,并通過(guò)特殊的腳本來(lái)將NTLM哈希值轉(zhuǎn)化為明文,如下所示:
獲取Windows憑證
Pass-the-Hash攻擊會(huì)發(fā)送用戶登入Windows系統(tǒng)的賬戶,包括微軟賬戶,因此此類攻擊的潛在危害很大。
而且微軟開始將本地windows 10賬戶遷移到微軟賬戶,遠(yuǎn)程攻擊者利用這種攻擊可以輕松地訪問(wèn)微軟提供的遠(yuǎn)程服務(wù),其中包括郵箱、Azure以及遠(yuǎn)程企業(yè)網(wǎng)絡(luò)等。
Bayne稱今年初就將該漏洞提交給了微軟,但微軟稱這屬于"feature by design",因此不會(huì)修復(fù)。
如何應(yīng)對(duì)惡意主題文件
Bayne建議用戶攔截或重新關(guān)聯(lián).theme、.themepack和.desktopthemepackfile擴(kuò)展到其他的應(yīng)用程序,這樣做可以打破Windows 10主題特征。此外,Windows用戶還可以配置一個(gè)名為'Network security:Restrict NTLM:Outgoing NTLM traffic to remote servers'的組策略為'Deny All',這可以預(yù)防NTLM哈希值被發(fā)送到遠(yuǎn)程主機(jī)。但配置看你會(huì)引發(fā)企業(yè)環(huán)境中使用遠(yuǎn)程共享的一些問(wèn)題。
最后,BleepingComputer建議用戶對(duì)微軟賬戶開啟多因子認(rèn)證來(lái)預(yù)防攻擊者成功竊取憑證后遠(yuǎn)程訪問(wèn)。