Se ha descubierto un agujero de seguridad con los temas personalizados en Windows 10, y los ciberdelincuentes podrían aprovecharlo para robarte las credenciales de la cuenta y también de acceso al ordenador.
Si eres de aquellos usuarios a los que les gusta instalarse temas personalizados para Windows 10, es probable que tus credenciales de acceso a tu cuenta de Microsoft o al ordenador estén en peligro.
Según ha descubierto el investigador de seguridad Jimmy Bayne, hay aparentemente un agujero de seguridad en la configuración de temas de Windows 10 que podría permitir a los ciberdelincuentes robar las credenciales de los usuarios creando un tema específico para llevar a cabo el ataque.
Actualmente Windows 10 nos permite instalarnos temas de fuentes de terceros, un procedimiento que permitiría a los atacantes crear un archivo malicioso que al abrirlo redirigiría a los usuarios a una página que solicitaría ingresar nuestras credenciales. Esta página, creyendo el usuario que es oficial, se quedaría con dichas credenciales de acceso.
Se pueden compartir temas en Windows 10 accediendo a personalización, después a temas y haciendo clic en “guardar tema” para compartir. Al realizarlo, se crea un archivo con extensión .deskthemepack que se puede compartir a través del correo electrónico u otras fuentes. De esta manera un atacante podría crear un tema malicioso con dicha extensión para engañar al usuario y redirigirle a una página web donde se le pidiera las credenciales de acceso.
[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q
— bohops (@bohops) September 5, 2020
En dicha página, cuando los usuarios ingresan sus credenciales, se enviaría un hash NTLM de los detalles al sitio para dicha autentificación, y las contraseñas no complejas se abrirían con un software especial de eliminación de hash.
Una forma que tendríamos para no caer en dicha trampa, es bloquear extensiones como .theme, .themepack y .desktopthemepackfile y realizar una serie de pasos a través de una política del grupo que restringe el envío de credenciales con hash NTLM a hosts remotos. Sin embargo, no es aconsejable que un usuario principiante se ponga a hacer dichas configuraciones porque podría interferir en el buen funcionamiento del sistema operativo.
El error ya fue informado a Microsoft, pero los de Redmond no lo han solventado, parece ser porque “es una característica por diseño”. De esta manera no está claro que los de Redmond vayan a solventar este agujero de seguridad con los temas personalizados, y lo más sensato es que el usuario únicamente se instale temas personalizados oficiales de Microsoft y no de terceras fuentes.
[Vía: Neowin]