O pesquisador de segurança Jimmy Bayne descobriu recentemente falhas que permitem ataques por meio de arquivos e pacotes .theme no Windows 10. Os criminosos criam os temas inserindo ferramentas para roubar dados e credenciais das contas dos usuários.
Segundo Bayne, os invasores desenvolveram um arquivo simulando um tema que pode alterar o papel de parede da área de trabalho. Ao ser ativado, o arquivo inicia um prompt que executa o recurso solicitado via autenticação remota, enviando o hash NTLM e o nome de login para a conta conectada.
Dessa forma, os invasores poderão acessar as credenciais e remover a senha usando scripts especiais em arquivos de texto não criptografados. A prática é conhecida como Pass-the-Hash, quando ocorre o roubo de identidade de uma máquina, sendo posteriormente acessada em outra máquina.
Invasores podem acessar as credenciais e remover a senha usando scripts especiais. Imagem: Isriya Paireepairit/Flickr
Para oferecer um sistema operacional com acesso rápido às informações do usuário, a Microsoft permite realizar o login no Windows 10 com uma conta da empresa, em vez de uma conta local no sistema. Ao mesmo tempo que simplifica o acesso do usuário às informações, o método facilita o acesso de invasores aos dados sensíveis dos usuários conectados aos serviços remotos oferecidos pela Microsoft.
Como se proteger
Jimmy Bayne aponta que, para se proteger, é recomendado bloquear ou reassociar as extensões .theme, .themepack e .desktopthemepackfile a um programa diferente. Dessa forma haverá a interrupção do recurso Temas do Windows 10. É aconselhável fazer a alteração quando somente não precisar mudar o tema.
Adicionalmente, Bayne aconselha implementar o uso de autenticação multi-fator conhecida como verificação em duas etapas, para evitar o acesso remoto por invasores.
Fonte: Bleeping Computer