El investigador de seguridad Jimmy Bayme, conocido en Twitter como @bohops, descubrió recientemente que hay temas de Windows 10 especiales que pueden ser usados para ejecutar ataques "Pass-the-Hash".
Este tipo de ataques sirven para robar nombres de inicio de sesión de Windows y los hashes correspondientes de la contraseña. Lo que hacen es engañar al usuario para acceder a un servidor remoto que requiera autenticación.
El wallpaper que te roba la contraseña
[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q
— bohops (@bohops) September 5, 2020
En el método descrito por @bohops, el atacante solo tienes que crear un archivo .theme, es decir, un archivo de tema de Windows, y modificar el ajuste para el wallpaper de forma que necesite usar un recurso alojado de forma remota que requiera autenticación.
Básicamente, los temas de Windows tienen varios parámetros que cambian el estilo de múltiples partes del escritorio, como los colores o el fondo de pantalla. Si un tema en cuestión utiliza un recurso que esté almacenado de forma remota, como por ejemplo, un wallpaper, cuando Windows intente acceder a ese fondo almacenado en un servidor remoto, automáticamente intentará iniciar sesión enviando el hash NTLM y el nombre de usuario de la cuenta de Windows.
Windows intenta iniciar sesión automáticamente en el servidor remoto donde está el supuesto wallpaper
El ataque Pass-the-hash no requiere la contraseña como tal en texto plano, sino que le basta con el hash NTLM del password del usuario, por lo tanto no tiene que usar fuerza bruta para obtener la contraseña y el robo es mucho más fácil.
Es ahí entonces cuando el atacante puede recoger las credenciales e intentar hacer dehash de la contraseña usando scripts especiales. En Bleeping Computer cuentan como probaron este método y el dehashing de una contraseña fácil tomo apenas 4 segundos.
El investigador explicó que reportó su descubrimiento a Microsoft a principios del año pero no se solucionó porque se trata de una "característica por diseño". La recomendación de este investigador es bloquear todas las extensiones de archivo .theme, .themepack. y .desktopthemepackfile, lo que básicamente rompe las funciones de temas de Windows 10 y te impide volver a cambiar de tema.
No descargar ni instalar archivos con estas extensiones es también una solución menos drástica pero que requiere que el usuario esté más pendiente de lo que hace.
Vía | BleepingComputer
Ver 4 comentarios