Windows 10: Hintergrundbilder ermöglichen Stehlen von Accountdaten

Angepasste Windows-10-Designs können auf Hintergrundbilder im Netz zugreifen. Dies lässt sich nutzen, um Accountdaten in Hashes abzugreifen.

Artikel veröffentlicht am ,
Windows-Designs sollen eigentlich den Desktop anpassen und nicht Kontodaten stehlen.
Windows-Designs sollen eigentlich den Desktop anpassen und nicht Kontodaten stehlen. (Bild: Oliver Nickel/Golem.de)

Der Sicherheitsforscher Jimmy Bayne hat eine Methode zum Stehlen von Account-Daten in Windows 10 entdeckt. Mit Hilfe von eigens erstellten Windows-Designs und speziell Desktophintergründen ist es möglich, Opfer zur Eingabe ihrer Kontodaten zu bewegen. Der daraus gewonnene Hash-Wert, der vom NTLM-Authentifizierungsverfahren versendet wird, soll anschließend leicht knackbar sein.

Stellenmarkt
  1. SAP Logistik Berater (m/w/x) - SAP PP, MM, EWM, QM, SD
    über duerenhoff GmbH, Würzburg
  2. Softwareentwickler IoT (m/w/d)
    Pfeiffer Vacuum GmbH, Aßlar
Detailsuche

Der Pass-the-Hash-Angriff funktioniert durch Designs, die Desktophintergründe auf einem Remote-Server nutzen wollen, erklärt Bayne auf Twitter. Windows 10 möchte sich nämlich per NTLM auf diesem Server anmelden und gibt anschließend ein Eingabefenster aus. Sollten sich Opfer dann anmelden, kann der an den Server übermittelte Hash-Wert von der angreifenden Partei in Klartext umgerechnet werden. Das könnte im Falle eines Microsoft-Accounts, welcher meist auf mehr als nur Windows 10 zugreifen kann, gefährlich werden.

Zugriff auf Netzwerkressource

Angepasste Designs können vom Betriebssystem in Themenpakete verpackt und dann auf Webseiten mit der Community geteilt werden. Designs sind dabei durch eine Textdatei mit der Endung .theme definiert, welche die Parameter für das jeweilige Design vorgibt. Zu finden sind diese im Ordner "%AppData%\Microsoft\Windows\Themes". Eine manipulierte Datei wird mit dem Parameter Wallpaper etwa auf eine URL verweisen, unter der das Desktop-Hintergrundbild für das jeweilige Design zu finden ist.

Es gibt mehrere Methoden, um diese doch recht simple Sicherheitslücke zu umgehen. So rät Bayne etwa dazu, Dateiendungen mit Begriffen wie Theme, Themepack und Desktopthemepackfile zu blocken. Allerdings ist es dann nicht mehr möglich, eigene Designs in Windows 10 zu ändern. Per Gruppenrichtlinie könnte auch NTLM-Traffic zu Remote-Standorten blockiert werden. Hier ist mit Einschränkungen zu rechnen, wenn Accounts auf dem so konfigurierten Gerät Zugriff zu Remote-Shared-Ordnern im eigenen Unternehmen haben. Microsoft Sharepoint ist ein Beispieldienst, der NTLM verwendet.

Golem Karrierewelt
  1. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    10.11.2022, Virtuell
  2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    06./07.10.2022, Virtuell
Weitere IT-Trainings

Das Aktivieren der Mehrfaktor-Authentifizierung für Microsoft-Konten ist ebenfalls hilfreich - genauso wie das grundlegende Verständnis, sich nicht auf unbekannten Quellen mit dem eigenen Account anzumelden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Meta stoppt ausgefeilte russische Desinformationskampagne

Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
Artikel
  1. Berufsschule für die IT-Branche: Leider nicht mal ausreichend
    Berufsschule für die IT-Branche
    Leider nicht mal "ausreichend"

    Lehrmaterial wie aus einem Schüleralbtraum, ein veralteter Rahmenlehrplan und nette Lehrer, denen aber die Praxis fehlt - mein Fazit aus drei Jahren als Berufsschullehrer.
    Ein Erfahrungsbericht von Rene Koch

  2. Windows 11 22H2: Intel-Sound-Treiber kann Windows-11-Absturz verursachen
    Windows 11 22H2
    Intel-Sound-Treiber kann Windows-11-Absturz verursachen

    Wegen Inkompatibilitäten hält Microsoft das Update auf Windows 11 22H2 auf einigen Geräten zurück. Ein Fehler führt zum Blue Screen.

  3. iPadOS 16: Apple bringt Stage Manager auf alte iPads
    iPadOS 16
    Apple bringt Stage Manager auf alte iPads

    Zuerst wollte Apple das wichtigste iPadOS-16-Feature nur auf M1-iPads bringen, doch nun kommt der Stage Manager auch für alte iPads.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Jetzt PS5-Verkauf bei Amazon • Viewsonic Curved 27" FHD 240 Hz günstig wie nie: 179,90€ • MindStar (Gigabyte RTX 3060 Ti 499€, ASRock RX 6800 579€) • AMD Ryzen 7000 jetzt bestellbar • Alternate (Kingston Fury DDR5-5600 16GB 96,90€) [Werbung]
    •  /