ผู้เชี่ยวชาญพบสามารถใช้ Themes บน Windows 10 หลอกขโมยรหัสผ่าน Windows ได้

Jimmy Bayne ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เปิดเผยว่าพบวิธีการใช้ Theme บน Windows 10 ไปหลอกขโมย Hash Password ของเหยื่อได้

ไฟล์ธีม (Themes) บน Windows 10 (ตามภาพประกอบด้านบน) สามารถถูกปรับแต่งขึ้นเองได้ ซึ่งจะเก็บอยู่ใน ‘%AppData%\Microsoft\Windows\Themes’ ทั้งนี้ผู้มีไอเดียสร้างสรรค์สามารถสร้างธีมของตนและแชร์ให้ผู้อื่นผ่านช่องทางไหนก็ได้ด้วยไฟล์ ‘.deskthemepack’ โดยฝั่งผู้รับเพียงแค่ดับเบิ้ลคลิกเพื่อติดตั้งธีมนั้นต่อไป

วิธีการโจมตีแบบ Pass-the-hash มีวัตถุประสงค์เพื่อเก็บชื่อล็อกอินและรหัสผ่านที่ถูก Hash เอาไว้ เพียงแค่หลอกให้เหยื่อเข้าไปในการแชร์ SMB ที่ต้องการพิสูจน์ตัวตน โดย Windows จะทำการล็อกอินอัตโนมัติไปยัง SMB ด้วย ชื่อล็อกอินและ NTLM Hash password

อย่างไรก็ดีนักวิจัยพบว่าสามารถสร้างธีมที่ชี้ไปยังทรัพยากรภายนอกที่ติดการพิสูจน์ตัวตนได้ และส่งไปให้เหยื่อเพื่อเปิดธีมดังกล่าว ด้วยเหตุนี้เองแฮ็กเกอร์ก็แค่รอให้ Windows ส่ง Credentials และเก็บข้อมูลเหล่านั้นไว้ แม้ว่า Bayne จะแจ้งแก่ทีมงานของ Microsoft แล้วตั้งแต่ต้นปี แต่ก็น่าผิดหวังกับคำตอบที่ว่าไม่สามารถแก้ได้เพราะเป็นฟีเจอร์ของการออกแบบ

วิธีการป้องกันมีทางเลือกดังนี้

• บล็อกหรือเปลี่ยนความเชื่อมโยงของไฟล์ต่างๆ ที่นามสกุล .theme, .themepack และ .desktopthemepack ไปยังโปรแกรมอื่น แต่วิธีการนี้ผู้ใช้งานจะไม่สามารถเปลี่ยนธีมอื่นได้อีก
• ไปบล็อกการส่ง NTLM อัตโนมัติใน Group Policy ที่  ‘Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’ แต่อาจขัดแย้งในการใช้งานระดับองค์กร
• เพิ่ม Multi-factor Authentication กับ Microsoft Account เพื่อเพิ่มการป้องกันอีกชั้นหนึ่ง

ที่มา : https://www.bleepingcomputer.com/news/microsoft/windows-10-themes-can-be-abused-to-steal-windows-passwords/