4000-559-590

全部资讯

美国服务器Win 10主题可以用来窃取密码,微软拒绝修复

发表时间: 2021-08-27 16:09:38

作者: 泽群

浏览:

研究人员发现精心伪造的Windows 10 主题和主题包可以用于Pass-the-Hash 攻击中,美国服务器​以从受害者处窃取Windows 账号凭证。

研究人员发现精心伪造的Windows 10 主题和主题包可以用于Pass-the-Hash 攻击中,美国服务器以从受害者处窃取Windows 账号凭证。


 

Windows 10主题简介

 

Windows 系统允许用户创建含有定制颜色、声音、鼠标操作和墙纸的定制主题供操作系统使用。然后,vWindows用户可以在不同的主题之间进行选择,以修改操作系统的外观。

 

 

美国服务器主题的设置保存在%AppData%\Microsoft\Windows\Themes 文件夹中一个 .theme 扩展的文件中,比如Custom Dark.theme。

                                                

 

用户还可以右键选择活动主题并选择,将当前主题分享给其他用户。

 

然后可以通过邮件或下载的方式分析桌面主题包,并双击安装。

 

美国服务器利用定制主题文件窃取Windows凭证

 

上周末,安全研究人员Jimmy Bayne (@bohops) 发现精心伪造的Windows 主题可以用来执行Pass-the-Hash 攻击。

 

Pass-the-Hash攻击是通过诱使用户访问需要认证的远程SMB共享来窃取Windows 登录名和密码哈希值的一种攻击方式。

 

美国服务器当访问远程资源时,Windows会通过发送Windows 用户登陆名和密码的NTLM 哈希值的方式来自动登陆远程系统。

 

在Pass-the-Hash 攻击中,发送的凭证会被攻击者获取,然后攻击者可以对密码哈希值解哈希获得密码,用于访问受害者的用户名和密码登陆。

 

BleepingComputer测试发现,只需要4秒钟就可以破解简单的密码哈希值。


 

                                                

 

                                                                                             4秒钟破解NTLM哈希值

 

在Bayne 发现的新方法中,攻击者可以创建一个精心伪造的 .theme 文件,修改桌面墙纸设置为使用需要远程认证的源,如下图所示:

 

                                                   

 

                                                                                              恶意Windows主题文件

 

当Windows 尝试访问需要认证的远程资源时,就会通过发送当前登入账户的NTLM 哈希和登录名来自动登入远程共享。

 

                                                   

 

                                                                                              自动登入远程共享文件

 

然后,攻击者就可以获取凭证,并通过特殊的脚本来将NTLM 哈希值转化为明文,如下所示:

 

                                                    

 

                                                                                                 获取Windows凭证

 

Pass-the-Hash攻击会发送用户登入Windows系统的账户,包括微软账户,因此此类攻击的潜在危害很大。

 

而且微软开始将本地windows 10账户迁移到微软账户,远程攻击者利用这种攻击可以轻松地访问微软提供的远程服务,其中包括邮箱、Azure以及远程企业网络等。

 

Bayne称今年初就将该漏洞提交给了微软,但微软称这属于"feature by design",因此不会修复。

 

如何应对恶意主题文件

 

Bayne建议用户拦截或重新关联.theme、.themepack和 .desktopthemepackfile扩展到其他的应用程序,这样做可以打破Windows 10主题特征。但配置看你会引发企业环境中使用远程共享的一些问题。

 

最后,BleepingComputer 建议用户对微软账户开启多因子认证来预防攻击者成功窃取凭证后远程访问。


美国服务器Win 10主题可以用来窃取密码,微软拒绝修复
研究人员发现精心伪造的Windows 10 主题和主题包可以用于Pass-the-Hash 攻击中,美国服务器​以从受害者处窃取Windows 账号凭证。
长按图片保存/分享
 
以客户的口碑塑造征帆品牌

关于我们


深圳市泽群信息技术有限公司成立于2009年5月4日,是一家专注网站建设、网站SEO优化、电商系统、小程序开发及网络推广及运营为一体的高新技术企业。总部位于科技之都的深圳.龙华,公司技术研发实力雄厚,旗下拥有多个自主知识产权软件,被评定为国家高新技术企业。

我们的优势

13年建站服务经验

服务3000多家企业

营销型网站建设专家

B2C营销型网站建设供应商

网页设计与网站开发技术并重

我们的不同

作为一家集“创意+整合+营销”的深圳网站建设营销机构,我们在业内具有一定的设计影响力和良好的客户口碑。泽群提供从前期的网站品牌分析策划、网站设计、创意表现、网页制作、系统开发以及后续网站运营推广等一系列服务,帮助企业打造创新的互联网品牌经营模式与有效的网络营销方法,创造更大的品牌势能!

公司地址:深圳市龙华区龙胜恒博国际4楼     联系电话:4000-559-590

Copyright @ 2009~2021   深圳市泽群信息技术有限公司       版板所有   粤ICP备11024359号     

专家团队为您提供深圳网站建设,深圳网站设计,深圳品牌网站设计,深圳营销型网站制作,商城网站建设,小程序开发,网站SEO优化,网站推广等服务,深圳网站建设就找泽群!

热线电话
4000-559-590
上班时间
周一至周五
E-mail地址
sales@zequninfo.com
二维码
二维码
添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了