[English]Ein Sicherheitsforscher weist darauf hin, dass sogenannte Custom Themes für Wndows 10 ein Sicherheitsrisiko darstellen. Diese ermöglichen es ggf. Anmeldedaten abzugreifen.
Anzeige
Windows ermöglicht es Benutzern, benutzerdefinierte Designs zu erstellen, die benutzerdefinierte Farben, Sounds, Mauscursor und das Hintergrundbild enthalten, die das Betriebssystem verwenden wird. Es gibt eine Unmenge an herunterladbaren sogenannten Custom Themes, mit denen sich Windows 10 gestalten lässt. Giga hat z. B. diesen Artikel publiziert, in den 10 Themes vorgestellt werden. Solche Custom Themes sind ja in bestimmten Nutzerkreisen recht beliebt, stellen aber ein Sicherheitsrisiko dar.
Sicherheitsrisiko Custom Themes
Speziell gestaltete Windows 10-Designs und Theme Packs können bei "Pass-the-Hash"-Angriffen verwendet werden, um Windows-Konto-Anmeldedaten von ahnungslosen Benutzern zu stehlen.
Ein Nutzer mit dem Alias @bohops weist auf Twitter auf den Credential Harvesting Trick hin. Unter Verwendung einer Windows .theme-Datei kann der Schlüssel für das Wallpaper (Desktop-Hintergrundbild) so konfiguriert werden, dass er auf eine Remote erforderliche http/s-Ressource verweist. Wenn ein Benutzer die Theme-Datei aktiviert (z.B. über einen Link/Anlage geöffnet), wird dem Benutzer eine Windows Anmeldung angezeigt.
Anzeige
Der Schlüssel für den Hintergrund des Desktop befindet sich im Abschnitt "Control Panel\Desktop" in der .theme-Datei. Andere Keys können möglicherweise auf die gleiche Weise verwendet werden. Dies kann, so der Benutzer, auch für die netNTLM-Hash-Angabe funktionieren, wenn sie für Remote-Dateispeicherorte eingestellt ist.
Der Standardhandler lädt rundll32.exe (themecpl.dll) und den Dialog zur Einstellung der Themen. Der Benutzer entdeckte dies vor einer Weile und meldete es Anfang des Jahres dem MSRC. Denn er hatte gesehen, dass ähnliche "Disclosure"-Fehler gepatcht wurden. Der gemeldete Theme-Fehler wurde nicht gepatcht, da diese Schwachstelle ein "Feature by Design" ist.
Lawrence Abrams hat das Ganze in diesem Artikel auf Bleeping Computer aufgegriffen. Zum Schutz vor böswilligen Themendateien empfahl der Twitter-Nutzer, die Erweiterungen .theme, .themepack und .desktopthemepackfile zu blockieren oder einem anderen Programm neu zuzuordnen.
Anzeige
Das ist mal wieder zum Kotzen. "Feature by Design" – wer braucht von extern nachladbare Desktophintergründe in Themes?
Viel wichtiger ist das Sperren von Themes-Dateien auf Proxy und Mailfilter. Und das Verbieten der NTLM-Anmeldung an Remoteservern per GPO, wie es auch von Bleeping beschrieben wird. IMHO ist das sogar die erste Maßnahme, die man ergreifen sollte. NTLM ist einfach nicht mehr zeitgemäß und hat in Kerberos einen sichereren Nachfolger.
Übrigens auch böse, die Windows Sandbox hat einen Zero-Day, der das Schreiben beliebiger Dateien in eigentlich geschützte Systemverzeichnisse ermöglich. Damit könnte man z.B. eine schädliche Exe-Datei in system32 ablegen, und somit dann Applocker usw. umgehen. https://www.bleepingcomputer.com/news/security/windows-10-sandbox-activation-enables-zero-day-vulnerability/
Heute Nacht ist Patchday, hoffentlich wird wenigstens das gefixt.
Mich würde mal Interessieren ob diese Sicherheitslücke auch bei Windows 8.1 und Windows 7 vorhanden ist.
Ich habe noch nie ein Theme für Windows aus dem Internet geladen. Es reicht eigentlich aus so was am Lokalen PC zu erstellen.
Meistens nutze ich dazu Icons aus der Windows 98 "Cool.dll". Die habe ich im Jahr 2012 mit dem "BeCyIconGrabber" im Jahr 2012 extrahiert und neu abgespeichert. Somit kann ich die alten Icons auch unter 64bit Versionen von Windows nutzen. Sonst habe ich noch soweit es möglich ist Windows XP Sounds festgelegt.