Các chủ đề (theme) của Windows 10 có thể bị lợi dụng để đánh cắp thông tin đăng nhập của người dùng
Phát hiện mới của nhà nghiên cứu bảo mật Jimmy Bayne (@bohops)(đăng trên twitter) cho rằng, các chủ đề tùy chỉnh (custom theme) của Windows 10 có thể bị điều chỉnh để tin tặc đánh cắp thông tin đăng nhập của người dùng. Cụ thể, hacker sử dụng các custom theme (chủ đề tuỳ biến) để thực hiện các cuộc tấn công Pass-the-Hash đối với người dùng Windows 10.
Jimmy cho biết, các chủ đề (theme) do người dùng tạo ra được lưu trong “% AppData% \ Microsoft \ Windows \ Themes” với phần mở rộng là “.theme”. Sau đó, các theme này có thể được chia sẻ bằng cách “Lưu chủ đề để chia sẻ” (Save theme for sharing) từ đó tạo ra tệp “.deskthemepack” được dùng để gửi qua email. Và hackers lợi dụng chính điểm này để thêm một hình nền mặc định trỏ đến một trang web yêu cầu xác thực. Ngay khi người dùng đăng nhập, mã băm (hash) NTLM và tên đăng nhập sẽ được gửi đi để xác thực, lúc đó hacker có thể giải mã băm (dehash) và truy cập thông tin của người dùng.
Do Windows 10 sử dụng Microsoft account nên người dùng càng dễ bị tấn công hơn. Thêm vào đó, tin tặc cũng có thể đánh cắp tài khoản của các dịch vụ khác như Azure, Office, v.v với việc sử dụng tài khoản Microsoft để xác thực.
Hiện các phát hiện này của Jimmy đã được ông gửi đến Microsoft nhưng phía công ty cho biết rằng họ không thể khắc phục được do đây là một tính năng đính kèm theo thiết kế (feature by design). Không còn cách nào khác, Jimmy đề xuất rằng người dùng có thể chặn hoặc liên kết .theme, .themepack và .desktopthemepackfile với một chương trình khác, từ đó phá vỡ tính năng này, nhưng người dùng cũng chẳng thể thay theme của Windows 10 được nữa.
Windows 10 dạo này nhiều lỗi bảo mật quá, hết Windows Defender rồi tới Windows Theme!
