Il ricercatore di sicurezza Jimmy Bayne ha scoperto un metodo per rubare i dati degli account in Windows 10. Con l’aiuto di sfondi Windows appositamente creati e sfondi desktop speciali, è possibile indurre le vittime a inserire i dati del proprio account. Il valore hash ottenuto da questo, che viene inviato dal processo di autenticazione NTLM, dovrebbe quindi essere facile da decifrare.
L’attacco pass-the-hash funziona attraverso progetti che vogliono utilizzare sfondi desktop su un server remoto, spiega Bayne su Twitter. Windows 10 desidera accedere a questo server tramite NTLM e quindi visualizza una finestra di input. Se le vittime si registrano, il valore hash trasmesso al server può essere convertito in testo normale dalla parte attaccante. Questo potrebbe essere pericoloso nel caso di un account Microsoft, che di solito può accedere a più account oltre Windows 10.
Windows 10, bloccate le estensioni di file per i temi
I progetti personalizzati possono essere confezionati in pacchetti a tema dal sistema operativo e quindi condivisi con la comunità sui siti Web. I design sono definiti da un file di testo con il .theme finale, che specifica i parametri per il rispettivo design. Puoi trovarli nella cartella “% AppData% \ Microsoft \ Windows \ Themes”. Un file manipolato utilizzerà il parametro Wallpaper per fare riferimento a un URL sotto il quale è possibile trovare l’immagine di sfondo del desktop per il rispettivo design.
Esistono diversi metodi per aggirare questa falla di sicurezza piuttosto semplice. Bayne consiglia, ad esempio, di bloccare le estensioni di file con termini come tema, pacchetto di temi e file del pacchetto di temi del desktop. Tuttavia, non è più possibile modificare i propri progetti in Windows 10. Sono previste limitazioni se gli account sul dispositivo configurato in questo modo hanno accesso alle cartelle condivise remote nella propria azienda. Microsoft Sharepoint è un servizio di esempio che utilizza NTLM.