Windows 10: Hintergrundbilder ermöglichen Stehlen von Accountdaten

Angepasste Windows-10-Designs können auf Hintergrundbilder im Netz zugreifen. Dies lässt sich nutzen, um Accountdaten in Hashes abzugreifen.

9. September 2020 um 10:46 Uhr / Oliver Nickel

8 Kommentare News folgen (öffnet im neuen Fenster)

Windows-Designs sollen eigentlich den Desktop anpassen und nicht Kontodaten stehlen. (Bild: Oliver Nickel/Golem.de) — Windows-Designs sollen eigentlich den Desktop anpassen und nicht Kontodaten stehlen. Bild: Oliver Nickel/Golem.de

Der Sicherheitsforscher Jimmy Bayne hat eine Methode zum Stehlen von Account-Daten in Windows 10 entdeckt. Mit Hilfe von eigens erstellten Windows-Designs und speziell Desktophintergründen ist es möglich, Opfer zur Eingabe ihrer Kontodaten zu bewegen. Der daraus gewonnene Hash-Wert, der vom NTLM-Authentifizierungsverfahren(öffnet im neuen Fenster) versendet wird, soll anschließend leicht knackbar sein.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Mitarbeiter*in eAkte/DMS-Umsetzung (m/w/d) Hochschule Hamm-Lippstadt, Lippstadt (öffnet im neuen Fenster)

Abteilungsleiter (m/w/d) IT Business Application (SAP) Mehler Engineered Defence GmbH, Fulda (öffnet im neuen Fenster)

IT-Manager/in (m/w/d) Betriebliche Hafenwirtschaft Lübecker Hafen-Gesellschaft mbH, Lübeck (öffnet im neuen Fenster)

Abschlussarbeit: Künstliche Intelligenz im Gesundheitswesen (Pflege, Medizin oder Management) Krankenhaus für Naturheilweisen, München (öffnet im neuen Fenster)

IT-Netzwerktechniker (m/w/d) - Schwerpunkt UC IT-Servicezentrum der bayerischen Justiz, Amberg (öffnet im neuen Fenster)

Network Infrastructure Specialist - Cisco Nexus and Automation (w/m/d) Hensoldt, Taufkirchen,Immenstaad,Ulm (öffnet im neuen Fenster)

Informatiker (m/w/d) im technischen Eplan Support EPLAN GmbH & Co. KG, Monheim am Rhein (öffnet im neuen Fenster)

ERP-Administrator (m/w/d) MUNK Group, Günzburg (öffnet im neuen Fenster)

Der Pass-the-Hash-Angriff funktioniert durch Designs, die Desktophintergründe auf einem Remote-Server nutzen wollen, erklärt Bayne auf Twitter(öffnet im neuen Fenster) . Windows 10 möchte sich nämlich per NTLM auf diesem Server anmelden und gibt anschließend ein Eingabefenster aus. Sollten sich Opfer dann anmelden, kann der an den Server übermittelte Hash-Wert von der angreifenden Partei in Klartext umgerechnet werden. Das könnte im Falle eines Microsoft-Accounts, welcher meist auf mehr als nur Windows 10 zugreifen kann, gefährlich werden.

Zugriff auf Netzwerkressource

Angepasste Designs können vom Betriebssystem in Themenpakete verpackt und dann auf Webseiten mit der Community geteilt werden. Designs sind dabei durch eine Textdatei mit der Endung .theme definiert, welche die Parameter für das jeweilige Design vorgibt. Zu finden sind diese im Ordner "%AppData%\Microsoft\Windows\Themes" . Eine manipulierte Datei wird mit dem Parameter Wallpaper etwa auf eine URL verweisen, unter der das Desktop-Hintergrundbild für das jeweilige Design zu finden ist.

Es gibt mehrere Methoden, um diese doch recht simple Sicherheitslücke zu umgehen. So rät Bayne etwa dazu, Dateiendungen mit Begriffen wie Theme, Themepack und Desktopthemepackfile zu blocken. Allerdings ist es dann nicht mehr möglich, eigene Designs in Windows 10 zu ändern. Per Gruppenrichtlinie könnte auch NTLM-Traffic zu Remote-Standorten blockiert werden. Hier ist mit Einschränkungen zu rechnen, wenn Accounts auf dem so konfigurierten Gerät Zugriff zu Remote-Shared-Ordnern im eigenen Unternehmen haben. Microsoft Sharepoint ist ein Beispieldienst, der NTLM verwendet.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)