– Un descubrimiento afirma que los piratas informáticos pueden usar un tema personalizado de Windows 10 para robar datos importantes que pertenecen al usuario que lo instaló. Este descubrimiento fue publicado por un investigador de ciberseguridad llamado Jimmy Baine. Se dice que el tema personalizado no oficial puede llevar a cabo ataques Pass-The-Hash en Windows 10.
Además, Jimmy descubrió que el tema personalizado podÃa colarse en la carpeta “%AppData%MicrosoftWindowsThemes con la extensión Theme. Este tema se puede compartir con la función “Guardar tema para compartir” en la configuración y luego crear un paquete llamado “.deskthemepack” que se envÃa por correo electrónico.
[Credential Harvesting Trick] Usando un archivo .theme de Windows, la clave del fondo de pantalla se puede configurar para apuntar a un recurso http/s remoto que requiere autenticación. Cuando un usuario activa el archivo de tema (por ejemplo, abierto desde un enlace/archivo adjunto), se muestra un aviso de credencial de Windows al usuario 1/4 pic.twitter.com/rgR3a9KP6Q
– bohops (@bohops) 5 de septiembre de 2020
Los piratas informáticos pueden aprovechar esta vulnerabilidad para luego crear un tema o fondo de pantalla que redirija a un sitio web que requiera la autenticación del usuario. Cuando el usuario ingresa la identificación y la contraseña, se registrará en el hash NTLM. Más tarde, el nombre de inicio de sesión se enviará como autenticación que los piratas informáticos pueden usar para descifrar el código secreto y tener acceso a los datos personales del usuario.
Debido a que Windows 10 usa cuentas de Microsoft casi en su totalidad, el impacto del uso de temas personalizados será aún mayor. Otras aplicaciones asociadas a cuentas de Microsoft como Azure, Office y otras, tienen un riesgo muy alto de ser hackeadas. Porque los datos están tan expuestos y asociados con una cuenta de Microsoft.
La violación de estos datos importantes es realmente muy crucial, incluso la propia Microsoft admite que no ha podido realizar mejoras con respecto a la existencia de esta brecha. Esto se reveló a partir de la confesión de Jimmy, quien luego informó este error o laguna de seguridad a Microsoft desde principios del año pasado.
Según el informe, Microsoft explicó que era imposible cerrar el acceso a la función Guardar tema para compartir que estaba conectada a una cuenta de Microsoft. La razón es que la caracterÃstica ha sido diseñada de tal manera que no hay posibilidad de realizar cambios avanzados para cerrar la brecha.
La solución que Jimmy recomendó como medida temporal es bloquear archivos con la extensión .theme, .themepack y .desktopthemepackfiles a otros programas o aplicaciones. Esto se puede usar como último recurso, porque al bloquear la extensión, los usuarios no pueden realizar cambios en la apariencia de su tema de Windows.
