O pesquisador de segurança Jimmy Bayne descobriu recentemente falhas que permitem ataques por meio de arquivos e pacotes .theme no Windows 10. Os criminosos criam os temas inserindo ferramentas para roubar dados e credenciais das contas dos usuários. 

Segundo Bayne, os invasores desenvolveram um arquivo simulando um tema que pode alterar o papel de parede da área de trabalho. Ao ser ativado, o arquivo inicia um prompt que executa o recurso solicitado via autenticação remota, enviando o hash NTLM e o nome de login para a conta conectada.

Dessa forma, os invasores poderão acessar as credenciais e remover a senha usando scripts especiais em arquivos de texto não criptografados. A prática é conhecida como Pass-the-Hash, quando ocorre o roubo de identidade de uma máquina, sendo posteriormente acessada em outra máquina.

 

17107563257_1188949d18_c5c00fb3496406128.jpgInvasores podem acessar as credenciais e remover a senha usando scripts especiais. Imagem: Isriya Paireepairit/Flickr

 

Para oferecer um sistema operacional com acesso rápido às informações do usuário, a Microsoft permite realizar o login no Windows 10 com uma conta da empresa, em vez de uma conta local no sistema. Ao mesmo tempo que simplifica o acesso do usuário às informações, o método facilita o acesso de invasores aos dados sensíveis dos usuários conectados aos serviços remotos oferecidos pela Microsoft.

Como se proteger

Jimmy Bayne aponta que, para se proteger, é recomendado bloquear ou reassociar as extensões .theme, .themepack e .desktopthemepackfile a um programa diferente. Dessa forma haverá a interrupção do recurso Temas do Windows 10. É aconselhável fazer a alteração quando somente não precisar mudar o tema.

Adicionalmente, Bayne aconselha implementar o uso de autenticação multi-fator conhecida como verificação em duas etapas, para evitar o acesso remoto por invasores.

 

Fonte: Bleeping Computer