Windows 10: Hintergrundbilder ermöglichen Stehlen von Accountdaten
Der Sicherheitsforscher Jimmy Bayne hat eine Methode zum Stehlen von Account-Daten in Windows 10 entdeckt. Mithilfe von eigens erstellten Windows-Designs und speziellen Desktophintergründen ist es möglich, Opfer zur Eingabe ihrer Kontodaten zu bewegen. Der daraus gewonnene Hash-Wert, der vom NTLM-Authentifizierungsverfahren versendet wird, soll anschließend leicht knackbar sein.
Der Pass-the-Hash-Angriff funktioniert durch Designs, die Desktophintergründe auf einem Remote-Server nutzen wollen, erklärt Bayne auf Twitter. Windows 10 möchte sich nämlich per NTLM auf diesem Server anmelden und gibt anschließend ein Eingabefenster aus. Sollten sich Opfer dann anmelden, kann der an den Server übermittelte Hash-Wert von der angreifenden Partei in Klartext umgerechnet werden. Das könnte im Falle eines Microsoft-Accounts, der meist auf mehr als nur Windows 10 zugreifen kann, gefährlich werden.
Zugriff auf Netzwerkressource
Angepasste Designs können vom Betriebssystem in Themenpaketen verpackt und dann auf Websites mit der Community geteilt werden. Designs sind dabei durch eine Textdatei mit der Endung .theme definiert, die die Parameter für das jeweilige Design vorgibt. Zu finden sind diese im Ordner „%AppData%\Microsoft\Windows\Themes“. Eine manipulierte Datei wird mit dem Parameter Wallpaper etwa auf eine URL verweisen, unter der das Desktophintergrundbild für das jeweilige Design zu finden ist.
Es gibt mehrere Methoden, um diese doch recht simple Sicherheitslücke zu umgehen. So rät Bayne etwa dazu, Dateiendungen mit Begriffen wie Theme, Themepack und Desktopthemepackfile zu blocken. Allerdings ist es dann nicht mehr möglich, eigene Designs in Windows 10 zu ändern. Per Gruppenrichtlinie könnte auch NTLM-Traffic zu Remote-Standorten blockiert werden. Hier ist mit Einschränkungen zu rechnen, wenn Accounts auf dem so konfigurierten Gerät Zugriff zu Remote-Shared-Ordnern im eigenen Unternehmen haben. Microsoft Sharepoint ist ein Beispieldienst, der NTLM verwendet.
Das Aktivieren der Mehrfaktor-Authentifizierung für Microsoft-Konten ist ebenfalls hilfreich – genauso wie das grundlegende Verständnis, sich nicht auf unbekannten Quellen mit dem eigenen Account anzumelden.
Autor des Artikel ist Oliver Nickel.
Zum Weiterlesen:
- Windows 10 kann Android-Apps vom Smartphone spiegeln
- „Start Me Up“: Windows 95 löste vor 25 Jahren den PC-Boom aus
- Die 16 besten Illustrator-Alternativen für Windows, Mac, Linux und Tablets