El poder cambiar el aspecto de nuestro equipo es uno de los aspectos que más gustan a los usuarios. Cambiar el diseño del escritorio es tan fácil como descargar y aplicar un tema. Y de hecho, aquí hemos visto los temas y diseños que por ejemplo Microsoft ha ido lanzando de forma periódica en su tienda de aplicaciones.
Los temas y paquetes de temas de Windows 10 ofrecen una gran cantidad de opciones y casi todos son seguros, máxime en el caso de los lanzados por Microsoft. Y hacemos referencia a ese "casi todos" al hablar de seguridad, por el descubrimiento de un investigador que ha encontrado temas especialmente diseñados se para robar nuestras contraseñas.
Ataques Pass-the-Hash
Los temas permiten cambiar casi cualquier aspecto de nuestro escritorio. Colores, fondos, iconos, cursor... casi todo puede modificarse por temas que se descargan o que personalizamos nosotros mismos. Los temas crean una configuración que se almacena en la ruta AppData% \ Microsoft \ Windows \ Themes como un archivo con una extensión .theme.
El resultado, el archivo con la extensión ".theme", se puede compartir con otros usuarios y es aquí donde radica el problema descubierto por el investigador @bohops en su cuenta de Twitter. Temas empaquetados especialmente para efectuar un ataque Pass-the-Hash (PtH) en nuestros equipos.
[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q
— bohops (@bohops) September 5, 2020
Atques fáciles de llevar a cabo y tanto es así que en Bleeping Computer han seguido este método y han logrado obtener la contraseña sin más complicaciones.
Un tipo de ataque que lo que busca es robar credenciales para así acceder a otros componentes del sistema con el objetivo de llegar a tener un control total del mismo y acceder a todo tipo de información que almacenamos y que circule por el sistema operativo.
El atacante intenta acceder y conseguir las credenciales de inicio de sesión en el equipo para una vez logradas, identificarse en otros equipos conectados a la red. Se trata de acceder a los valores hash de la contraseña y de esta forma poder acceder a todo tipo de servicios. En este caso no se trata de acceder a la contraseña en texto plano, sino al hash NTLM, lo que hace que el ataque sea más fácil de llevar a cabo.
En este caso, este archivo .theme modificado lo que hace es cambiar los ajustes para que el tema tenga que buscar un recurso o un archivo en remoto que requiera autenticación. En ese momento cuando intenta acceder a ese archivo en remoto, automáticamente intentará iniciar sesión enviando el hash NTLM y el nombre de usuario de la cuenta de Windows.
Ante esta situación, la solución que recomienda el descubridor de la amenaza pasa por no descargar ni instalar archivos con estas extensiones, máxime cuando provienen de sitios que no dan confianza. Otra medida, más extrema, pasa por bloquear todas las extensiones de archivo .theme, .themepack. y .desktopthemepackfile, pero de esta forma no vamos poder cambiar los temas en nuestro equipo.
Vía | Bleeping Computer