• IT-Karriere:
  • Services:

Windows 10: Hintergrundbilder ermöglichen Stehlen von Accountdaten

Angepasste Windows-10-Designs können auf Hintergrundbilder im Netz zugreifen. Dies lässt sich nutzen, um Accountdaten in Hashes abzugreifen.

Artikel veröffentlicht am ,
Windows-Designs sollen eigentlich den Desktop anpassen und nicht Kontodaten stehlen.
Windows-Designs sollen eigentlich den Desktop anpassen und nicht Kontodaten stehlen. (Bild: Oliver Nickel/Golem.de)

Der Sicherheitsforscher Jimmy Bayne hat eine Methode zum Stehlen von Account-Daten in Windows 10 entdeckt. Mit Hilfe von eigens erstellten Windows-Designs und speziell Desktophintergründen ist es möglich, Opfer zur Eingabe ihrer Kontodaten zu bewegen. Der daraus gewonnene Hash-Wert, der vom NTLM-Authentifizierungsverfahren versendet wird, soll anschließend leicht knackbar sein.

Stellenmarkt
  1. MACH AG, Lübeck, Berlin, Erfurt, Schwerin (Home-Office)
  2. i-SOLUTIONS Health GmbH, Mannheim

Der Pass-the-Hash-Angriff funktioniert durch Designs, die Desktophintergründe auf einem Remote-Server nutzen wollen, erklärt Bayne auf Twitter. Windows 10 möchte sich nämlich per NTLM auf diesem Server anmelden und gibt anschließend ein Eingabefenster aus. Sollten sich Opfer dann anmelden, kann der an den Server übermittelte Hash-Wert von der angreifenden Partei in Klartext umgerechnet werden. Das könnte im Falle eines Microsoft-Accounts, welcher meist auf mehr als nur Windows 10 zugreifen kann, gefährlich werden.

Zugriff auf Netzwerkressource

Angepasste Designs können vom Betriebssystem in Themenpakete verpackt und dann auf Webseiten mit der Community geteilt werden. Designs sind dabei durch eine Textdatei mit der Endung .theme definiert, welche die Parameter für das jeweilige Design vorgibt. Zu finden sind diese im Ordner "%AppData%\Microsoft\Windows\Themes". Eine manipulierte Datei wird mit dem Parameter Wallpaper etwa auf eine URL verweisen, unter der das Desktop-Hintergrundbild für das jeweilige Design zu finden ist.

Es gibt mehrere Methoden, um diese doch recht simple Sicherheitslücke zu umgehen. So rät Bayne etwa dazu, Dateiendungen mit Begriffen wie Theme, Themepack und Desktopthemepackfile zu blocken. Allerdings ist es dann nicht mehr möglich, eigene Designs in Windows 10 zu ändern. Per Gruppenrichtlinie könnte auch NTLM-Traffic zu Remote-Standorten blockiert werden. Hier ist mit Einschränkungen zu rechnen, wenn Accounts auf dem so konfigurierten Gerät Zugriff zu Remote-Shared-Ordnern im eigenen Unternehmen haben. Microsoft Sharepoint ist ein Beispieldienst, der NTLM verwendet.

Das Aktivieren der Mehrfaktor-Authentifizierung für Microsoft-Konten ist ebenfalls hilfreich - genauso wie das grundlegende Verständnis, sich nicht auf unbekannten Quellen mit dem eigenen Account anzumelden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 382,69€ (Bestpreis!)
  2. 189,00€ (Bestpreis!)
  3. 72,90€
  4. 97,90€ (keine Versandkosten!)

Lanski 09. Sep 2020

Bisschen Abstrakt aber durchaus passender Vergleich. :)

n0x30n 09. Sep 2020

Ja sorry. Hab's selber gerade bei meinen Recherchen bemerkt. Bin doch tatsächlich davon...


Folgen Sie uns
       


Turrican II (1991) - Golem retro_

Manfred Trenz und Chris Huelsbeck waren 1991 für uns Popstars und Turrican 2 auf C64 und Amiga ihr Greatest-Hits-Album.

Turrican II (1991) - Golem retro_ Video aufrufen
    •  /