يمكن استخدام سمات Windows 10 وحزم السمات المصممة خصيصًا في هجمات 'Pass-the-Hash' لسرقة بيانات اعتماد حساب Windows من المستخدمين المطمئنين.
يسمح نظام Windows للمستخدمين بإنشاء سمات مخصصة تحتوي على ألوان وأصوات ومؤشرات الماوس وخلفية مخصصة سيستخدمها نظام التشغيل. ويمكن لمستخدمي Windows التبديل بين السمات المختلفة حسب الرغبة لتغيير مظهر نظام التشغيل.
يتم حفظ إعدادات السمة ضمن المجلد %AppData%\Microsoft\Windows\Themes ” with “.theme” extension ، مثل "Custom Dark.theme".
يمكن بعد ذلك مشاركة سمات Windows مع مستخدمين آخرين عن طريق النقر بزر الماوس الأيمن على سمة نشطة وتحديد "حفظ السمة للمشاركة" ، والتي ستجمع السمة في ملف ".deskthemepack".
يمكن بعد ذلك مشاركة حزم سمات سطح المكتب هذه عبر البريد الإلكتروني أو كتنزيلات على مواقع الويب ، وتثبيتها بالنقر المزدوج عليها.
يمكن استخدام السمات المخصصة لسرقة كلمات مرور Windows
حيث كشف الباحث الأمني في نهاية الأسبوع جيمي باين (bohops) أنه يمكن استخدام سمات Windows المصممة خصيصًا لتنفيذ هجمات Pass-the-Hash.
[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q— bohops (@bohops) September 5, 2020
تُستخدم هجمات Pass-the-Hash لسرقة أسماء تسجيل الدخول إلى Windows وتجزئة كلمة المرور عن طريق خداع المستخدم للوصول إلى مشاركة SMB بعيدة تتطلب المصادقة. وعند محاولة الوصول إلى المورد البعيد ، سيحاول Windows تلقائيًا تسجيل الدخول إلى النظام البعيد عن طريق إرسال اسم تسجيل دخول مستخدم Windows وتجزئة NTLM لكلمة المرور الخاصة به.
في هجوم Pass-the-Hash ، يتم حصاد بيانات الاعتماد المرسلة من قبل المهاجمين ، الذين يحاولون بعد ذلك إزالة كلمة المرور للوصول إلى اسم تسجيل الدخول وكلمة المرور للزوار.
في اختبار تم إجراؤه مسبقًا بواسطة BleepingComputer ، استغرق فك شفرة كلمة مرور سهلة حوالي 4 ثوانٍ للتكسير.
وفي الطريقة الجديدة التي اكتشفها Bayne ، يمكن للمهاجم إنشاء ملف .theme معد خصيصًا وتغيير إعداد خلفية سطح المكتب لاستخدام مورد مطلوب للمصادقة عن بُعد ، مثل المورد أدناه.
عندما يحاول Windows الوصول إلى المورد المطلوب للمصادقة عن بُعد ، سيحاول تلقائيًا تسجيل الدخول إلى المشاركة عن طريق إرسال تجزئة NTLM واسم تسجيل الدخول للحساب الذي تم تسجيل الدخول إليه.
يمكن للمهاجم بعد ذلك الحصول على بيانات الاعتماد وكشف كلمة المرور باستخدام نصوص خاصة ، بحيث تكون في شكل نصي واضح.
نظرًا لأن هجمات Pass-the-Hash سترسل الحساب المستخدم لتسجيل الدخول إلى Windows ، بما في ذلك حساب Microsoft ، فإن هذا النوع من الهجوم أصبح أكثر إشكالية.
نظرًا لأن Microsoft ابتعدت عن حسابات Windows 10 المحلية ونحو حسابات Microsoft ، يمكن للمهاجمين عن بُعد استخدام هذا الهجوم للوصول بسهولة إلى عدد لا يحصى من الخدمات عن بُعد التي تقدمها Microsoft.
يتضمن ذلك القدرة على الوصول المحتمل إلى البريد الإلكتروني أو Azure أو شبكات الشركة التي يمكن الوصول إليها عن بُعد.
صرح باين أنه كشف عن هذا الهجوم لشركة Microsoft في وقت سابق من هذا العام ، ولكن قيل له إنه لن يتم إصلاحه لأنه "ميزة حسب التصميم".
الحماية من الملفات الخبيثة
للحماية من ملفات السمات الضارة ، نصح باين بحظر أو إعادة ربط امتدادات ملف .theme و .themepack و .desktopthemepack ببرنامج مختلف.
سيؤدي القيام بذلك ، على الرغم من ذلك ، إلى تعطيل ميزة Windows 10 Themes ، لذلك استخدمها فقط إذا كنت لا تحتاج إلى التبديل إلى سمة أخرى.
يمكن لمستخدمي Windows تكوين نهج مجموعة باسم "أمان الشبكة: تقييد NTLM: حركة مرور NTLM الصادرة على الخوادم البعيدة" وتعيينها على "رفض الكل" لمنع إرسال بيانات اعتماد NTLM إلى المضيفين البعيدين.
الرجاء ملاحظة أن تكوين هذا الخيار قد يتسبب في حدوث مشكلات في بيئات المؤسسات التي تستخدم المشاركات البعيدة.
أخيرًا ، يقترح BleepingComputer إضافة مصادقة متعددة العوامل إلى حسابات Microsoft الخاصة بك لمنع الوصول إليها عن بُعد من قبل المهاجمين الذين سرقوا بيانات اعتمادك بنجاح.
ليست هناك تعليقات:
إرسال تعليق