Windows 10 のカスタム テーマでユーザーの資格情報が盗まれる可能性がある

セキュリティ研究者は最近、Windows 10 のカスタム テーマ設定にハッカーが被害者からアカウント情報を盗む可能性がある脆弱性を発見しました。

知らない人のために、Windowsのテーマは、Windows の外観と操作性を変更するインターフェイスへの修正のコレクションです。テーマにより、オペレーティング システムが使用する標準の Windows アイコン、マウス カーソル、サウンド、デスクトップの背景が変更される場合があります。

Windows ユーザーは、設定 UI を介してテーマを他のユーザーと共有できます。それには、[個人用設定] > [テーマ] で現在アクティブなテーマを右クリックし、[テーマを共有用に保存] を選択します。これにより、テーマが「.deskthemepack」ファイルにパッケージ化され、電子メールで共有したり、Web サイトでダウンロードしたりしてダウンロードしてインストールできるようになります。

ジミー・ベイン (@bohops) 抜け穴を発見した人物は、特別に作成された Windows テーマが「Pass-the-Hash」攻撃の実行に使用される可能性があることを明らかにしました。攻撃者は悪意のあるテーマ ファイルを作成し、ユーザーに認証情報の入力を求めるページにリダイレクトする可能性があります。

Pass-the-Hash は、通常のように関連付けられた平文パスワードを要求する代わりに、ユーザーのパスワードの基礎となる NTLM または LanMan ハッシュを使用して、攻撃者がリモート サーバーまたはサービスに対する認証を行うことを可能にするハッキング手法です。これにより、平文のパスワードを盗む必要がなくなり、単にハッシュを盗み、それを使用して認証が行われるようになります。

[資格情報収集のトリック] Windows の .theme ファイルを使用して、リモート認証が必要な http/s リソースを指すように壁紙キーを構成できます。ユーザーがテーマ ファイルをアクティブ化すると (リンク/添付ファイルから開くなど)、Windows 認証プロンプトがユーザーに表示されます 1/4pic.twitter.com/rgR3a9KP6Q

— ボホップス (@bohops)2020年9月5日

攻撃者はこの情報を使用して、特別に細工した「.theme ファイル」を作成し、デフォルトのデスクトップの壁紙を認証情報を必要とする Web サイトに変更する可能性があります。何も知らないユーザーがこのテーマ ファイルを使用して資格情報を入力すると、認証のために NTLM ハッシュがサイトに送信されます。これは、特別なデハッシュ ツールを使用して解読できます。

Bayne 氏は、主に他のユーザーによって Web 上で公開されているテーマ パックのダウンロードとインストールには注意する必要があると説明しました。悪意のあるテーマからシステムを保護するために、研究者は、.theme、.themepack、および .desktopthemepack ファイル拡張子をブロックするか、別のプログラムに再関連付けすることを提案しています。

Bayne 氏は、これらの調査結果を Microsoft の Security Response Center (MSRC) に報告しました。ただし、「仕様上の機能」であるため、バグは修正されませんでした。同社が将来的にこの問題を修正する計画があるかどうかは不明である。

ほとんどのユーザーは Microsoft アカウントにログインするため、Windows 10電子メール、OneDrive、さらには Azure データにアクセスする場合、資格情報の盗難も危険にさらされます。アカウント セキュリティの主な手段として、攻撃者によるリモート アクセスを防ぐために、Microsoft アカウントの 2 要素認証を有効にすることをお勧めします。