{"id":235232,"date":"2020-09-08T00:14:23","date_gmt":"2020-09-07T22:14:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235232"},"modified":"2023-02-20T08:16:53","modified_gmt":"2023-02-20T07:16:53","slug":"windows-10-custom-themes-erlauben-anmeldedaten-abzugreifen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/08\/windows-10-custom-themes-erlauben-anmeldedaten-abzugreifen\/","title":{"rendered":"Windows 10: Custom-Themes erlauben Anmeldedaten abzugreifen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/09\/08\/windows-10-custom-themes-erlauben-anmeldedaten-abzugreifen\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Ein Sicherheitsforscher weist darauf hin, dass sogenannte Custom Themes f\u00fcr Wndows 10 ein Sicherheitsrisiko darstellen. Diese erm\u00f6glichen es ggf. Anmeldedaten abzugreifen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/f8f983f6792342d183f10cbfaf2df3df\" alt=\"\" width=\"1\" height=\"1\" \/>Windows erm\u00f6glicht es Benutzern, benutzerdefinierte Designs zu erstellen, die benutzerdefinierte Farben, Sounds, Mauscursor und das Hintergrundbild enthalten, die das Betriebssystem verwenden wird. Es gibt eine Unmenge an herunterladbaren sogenannten Custom Themes, mit denen sich Windows 10 gestalten l\u00e4sst. Giga hat z. B. <a href=\"https:\/\/www.giga.de\/downloads\/windows-10\/tipps\/windows-10-themes-downloaden-und-installieren\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Artikel<\/a> publiziert, in den 10 Themes vorgestellt werden. Solche Custom Themes sind ja in bestimmten Nutzerkreisen recht beliebt, stellen aber ein Sicherheitsrisiko dar.<\/p>\n<h2>Sicherheitsrisiko Custom Themes<\/h2>\n<p>Speziell gestaltete Windows 10-Designs und Theme Packs k\u00f6nnen bei \"Pass-the-Hash\"-Angriffen verwendet werden, um Windows-Konto-Anmeldedaten von ahnungslosen Benutzern zu stehlen.<\/p>\n<p>Ein Nutzer mit dem Alias <a href=\"https:\/\/twitter.com\/bohops\">@bohops<\/a> weist <a href=\"https:\/\/twitter.com\/bohops\/status\/1302264069311926274\" target=\"_blank\" rel=\"noopener noreferrer\">auf Twitter<\/a> auf den Credential Harvesting Trick hin. Unter Verwendung einer Windows <em>.theme<\/em>-Datei kann der Schl\u00fcssel f\u00fcr das Wallpaper (Desktop-Hintergrundbild) so konfiguriert werden, dass er auf eine Remote erforderliche http\/s-Ressource verweist. Wenn ein Benutzer die Theme-Datei aktiviert (z.B. \u00fcber einen Link\/Anlage ge\u00f6ffnet), wird dem Benutzer eine Windows Anmeldung angezeigt.<\/p>\n<p><a href=\"https:\/\/twitter.com\/bohops\/status\/1302264069311926274\" target=\"_blank\" rel=\"noopener noreferrer\"><img decoding=\"async\" title=\"Credential Harvesting Trick \" src=\"https:\/\/i.imgur.com\/xjcGj8B.jpg\" alt=\"Credential Harvesting Trick \" \/><\/a><\/p>\n<p>Der Schl\u00fcssel f\u00fcr den Hintergrund des Desktop befindet sich im Abschnitt \"Control Panel\\Desktop\" in der .theme-Datei.\u00a0 Andere Keys k\u00f6nnen m\u00f6glicherweise auf die gleiche Weise verwendet werden. Dies kann, so der Benutzer, auch f\u00fcr die netNTLM-Hash-Angabe funktionieren, wenn sie f\u00fcr Remote-Dateispeicherorte eingestellt ist.<\/p>\n<p>Der Standardhandler l\u00e4dt <em>rundll32.exe<\/em> (<em>themecpl.dll<\/em>) und den Dialog zur Einstellung der Themen. Der Benutzer entdeckte dies vor einer Weile und meldete es Anfang des Jahres dem MSRC. Denn er hatte gesehen, dass \u00e4hnliche \"Disclosure\"-Fehler gepatcht wurden. Der gemeldete Theme-Fehler wurde nicht gepatcht, da diese Schwachstelle ein \"Feature by Design\" ist.<\/p>\n<p>Lawrence Abrams hat das Ganze in <a href=\"https:\/\/web.archive.org\/web\/20200908041657\/https:\/\/www.bleepingcomputer.com\/news\/microsoft\/windows-10-themes-can-be-abused-to-steal-windows-accounts\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> auf Bleeping Computer aufgegriffen. Zum Schutz vor b\u00f6swilligen Themendateien empfahl der Twitter-Nutzer, die Erweiterungen .theme, .themepack und .desktopthemepackfile zu blockieren oder einem anderen Programm neu zuzuordnen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ein Sicherheitsforscher weist darauf hin, dass sogenannte Custom Themes f\u00fcr Wndows 10 ein Sicherheitsrisiko darstellen. Diese erm\u00f6glichen es ggf. Anmeldedaten abzugreifen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,4378],"class_list":["post-235232","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235232","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235232"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235232\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235232"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235232"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235232"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}