Win 10主题能够用来窃防DDoS取密码,微软拒绝修复-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > Win 10主题能够用来窃防DDoS取密码,微软拒绝修复

Win 10主题能够用来窃防DDoS取密码,微软拒绝修复

小墨安全管家 2020-09-09 12:24 CC防护 89 ℃
DDoS防御

Win 10主题可以用来窃防DDoS取密码,微软拒绝修复

Win 10主题可以用来窃防DDoS取密码,微软拒绝修复

4秒钟破解NTLM哈希值

Win 10主题可以用来窃防DDoS取密码,微软拒绝修复

研究人员发觉精心伪造的Windows 10 主题和主题包能够用于Pass-the-Hash 攻击中,以从受害者处窃取Windows 账号凭证。

用户还能够右键挑选活动主题并挑选'Save theme for sharing' 将当前主题分享给其他用户,此刻会将主题打包为一具 '.deskthemepack' 文件。

Win 10主题可以用来窃防DDoS取密码,微软拒绝修复

Pass-the-Hash攻击会发送用户登入Windows系统的账户,包括微软账户,所以此类攻击的潜在危害特别大。

上周末,安全研究人员Jimmy Bayne (@bohops) 发觉精心伪造的Windows 主题能够用来执行Pass-the-Hash 攻击。

Windows 系统允许用户创建含有定制颜色、声音、鼠标操作和墙纸的定制主题供操作系统使用。接着,Windows用户能够在不同的主题之间举行挑选,以修改操作系统的外观。

当访咨询远程资源时,Windows会经过发送Windows 用户登陆名和密码的NTLM 哈希值的方式来自动登陆远程系统。

Bayne称今年初就将该漏洞提交给了微软,但微软称这属于"feature by design",所以不大概修复。

猎取Windows凭证

接着,攻击者就能够猎取凭证,并经过特殊的足本来将NTLM 哈希值转化为明文,如下所示:

Win 10主题可以用来窃防DDoS取密码,微软拒绝修复

修改Windows主题

windows 10主题文件

接着能够经过邮件或下载的方式分析桌面主题包,并双击安装。

而且微软开始将本地windows 10账户迁移到微软账户,远程攻击者利用这种攻击能够轻松地访咨询微软提供的远程服务,其中包括邮箱、Azure以及远程企业网络等。

Pass-the-Hash攻击是经过诱使用户访咨询需要认证的远程SMB共享来窃取Windows 登录名和密码哈希值的一种攻击方式。

在Bayne 发觉的新想法中,攻击者能够创建一具精心伪造的 .theme 文件,修改桌面墙纸设置为使用需要远程认证的源,如下图所示:

自动登入远程共享文件

BleepingComputer测试发觉,只需要4秒钟就能够破解简单的密码哈希值。

Win 10主题可以用来窃防DDoS取密码,微软拒绝修复

在Pass-the-Hash 攻击中,发送的凭证会被攻击者猎取,接着攻击者能够对密码哈希值解哈希获得密码,用于访咨询受害者的用户名和密码登陆。

怎么应对恶意主题文件

Bayne建议用户拦截或重新关联.theme、.themepack和 .desktopthemepackfile扩展到其他的应用程序,如此做能够打破Windows 10主题特征。此外,Windows 用户还能够配置一具名为'Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers' 的组策略为'Deny All',这能够预防NTLM 哈希值被发送到远程主机。但配置看你会引发企业环境中使用远程共享的一些咨询题。

主题的设置保存在%AppData%\Microsoft\Windows\Themes 文件夹中一具 .theme 扩展的文件中,比如Custom Dark.theme。

恶意Windows主题文件

利用定制主题文件窃取Windows凭证

最终,BleepingComputer 建议用户对微软账户开启多因子认证来预防攻击者成功窃取凭证后远程访咨询。

当Windows 尝试访咨询需要认证的远程资源时,就会经过发送当前登入账户的NTLM 哈希和登录名来自动登入远程共享。

Windows 10主题简介


DDoS防御

当前位置:主页 > CC防护 > Win 10主题能够用来窃防DDoS取密码,微软拒绝修复

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119