Windows 10: Hintergrundbilder ermöglichen Stehlen von Accountdaten

Angepasste Windows-10-Designs können auf Hintergrundbilder im Netz zugreifen. Dies lässt sich nutzen, um Accountdaten in Hashes abzugreifen.

Artikel veröffentlicht am ,
Windows-Designs sollen eigentlich den Desktop anpassen und nicht Kontodaten stehlen.
Windows-Designs sollen eigentlich den Desktop anpassen und nicht Kontodaten stehlen. (Bild: Oliver Nickel/Golem.de)

Der Sicherheitsforscher Jimmy Bayne hat eine Methode zum Stehlen von Account-Daten in Windows 10 entdeckt. Mit Hilfe von eigens erstellten Windows-Designs und speziell Desktophintergründen ist es möglich, Opfer zur Eingabe ihrer Kontodaten zu bewegen. Der daraus gewonnene Hash-Wert, der vom NTLM-Authentifizierungsverfahren versendet wird, soll anschließend leicht knackbar sein.

Stellenmarkt
  1. Agile Software Entwickler (m/w/d) Java
    binaris-informatik, Langenfeld
  2. Teamleiter Webshop Backend (gn)
    HORNBACH Baumarkt AG, Bornheim bei Landau / Pfalz
Detailsuche

Der Pass-the-Hash-Angriff funktioniert durch Designs, die Desktophintergründe auf einem Remote-Server nutzen wollen, erklärt Bayne auf Twitter. Windows 10 möchte sich nämlich per NTLM auf diesem Server anmelden und gibt anschließend ein Eingabefenster aus. Sollten sich Opfer dann anmelden, kann der an den Server übermittelte Hash-Wert von der angreifenden Partei in Klartext umgerechnet werden. Das könnte im Falle eines Microsoft-Accounts, welcher meist auf mehr als nur Windows 10 zugreifen kann, gefährlich werden.

Zugriff auf Netzwerkressource

Angepasste Designs können vom Betriebssystem in Themenpakete verpackt und dann auf Webseiten mit der Community geteilt werden. Designs sind dabei durch eine Textdatei mit der Endung .theme definiert, welche die Parameter für das jeweilige Design vorgibt. Zu finden sind diese im Ordner "%AppData%\Microsoft\Windows\Themes". Eine manipulierte Datei wird mit dem Parameter Wallpaper etwa auf eine URL verweisen, unter der das Desktop-Hintergrundbild für das jeweilige Design zu finden ist.

Es gibt mehrere Methoden, um diese doch recht simple Sicherheitslücke zu umgehen. So rät Bayne etwa dazu, Dateiendungen mit Begriffen wie Theme, Themepack und Desktopthemepackfile zu blocken. Allerdings ist es dann nicht mehr möglich, eigene Designs in Windows 10 zu ändern. Per Gruppenrichtlinie könnte auch NTLM-Traffic zu Remote-Standorten blockiert werden. Hier ist mit Einschränkungen zu rechnen, wenn Accounts auf dem so konfigurierten Gerät Zugriff zu Remote-Shared-Ordnern im eigenen Unternehmen haben. Microsoft Sharepoint ist ein Beispieldienst, der NTLM verwendet.

Golem Akademie
  1. PowerShell Praxisworkshop
    20.-23. Dezember 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Das Aktivieren der Mehrfaktor-Authentifizierung für Microsoft-Konten ist ebenfalls hilfreich - genauso wie das grundlegende Verständnis, sich nicht auf unbekannten Quellen mit dem eigenen Account anzumelden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
M1 Pro/Max
Dieses Apple Silicon ist gigantisch

Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
Eine Analyse von Marc Sauter

M1 Pro/Max: Dieses Apple Silicon ist gigantisch
Artikel
  1. Google: Neues Pixel 6 kostet 650 Euro
    Google
    Neues Pixel 6 kostet 650 Euro

    Das Pixel 6 Pro mit Telekamera und schnellerem Display kostet ab 900 Euro. Google verbaut erstmals einen eigenen Prozessor.

  2. Etisalat UAE: Wir haben das beste Netzwerk der Welt
    Etisalat UAE
    "Wir haben das beste Netzwerk der Welt"

    Das Land, wo 98 Prozent der Haushalte FTTH haben, hat ein Programm für die verbliebenen 2 Prozent gestartet. Kunden wollen 1 GBit/s in jedem Raum.

  3. Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
    Klimaforscher
    Das Konzept der Klimaneutralität ist eine gefährliche Falle

    Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
    Von James Dyke, Robert Watson und Wolfgang Knorr

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /