Les thèmes personnalisés sont faciles à concevoir, et Windows 10 permet aux utilisateurs d’en créer afin d’avoir un bureau unique en changeant l'apparence de Windows. Mais les utilisateurs qui préfèrent les thèmes spécialement conçus pourraient être victimes d’attaques de type "Pass-the-Hash". Un chercheur en sécurité a mis en garde contre une technique qui pourrait être exploitée par des pirates informatiques pour tromper les utilisateurs et les amener à divulguer leurs données de connexion à Windows lorsqu'ils appliquent un thème. Mais il existe des mesures de protection qui peuvent être mises en place.Les acteurs de la menace trouvent toujours de nouveaux moyens de pirater les appareils des gens. Une nouvelle faille dans les thèmes personnalisés de Windows 10 révélée samedi dernier par un chercheur en sécurité pourrait leur donner des idées. Le chercheur derrière le compte Twitter @bohops dit avoir a découvert que les attaquants pouvaient utiliser des thèmes Windows 10 personnalisés pour voler les informations de compte des victimes en procédant par un type d’attaque.
Windows 10 vous permet de créer des thèmes personnalisés, et ces thèmes peuvent contenir des sons, des couleurs personnalisées, des curseurs de souris et des fonds d'écran que le système d'exploitation va utiliser. Les utilisateurs peuvent ensuite choisir de passer d'un thème à l'autre pour modifier l'apparence du système d'exploitation Windows 10. Les packs de thèmes personnalisés de Windows 10 peuvent également être partagés par courrier électronique avec d’autres utilisateurs, en faisant un clic droit sur un thème actif et en sélectionnant "Enregistrer le thème pour le partager", ce qui permettra de regrouper le thème dans un fichier ".deskthemepack".
Le chercheur en sécurité a posté une série de tweets expliquant comment le piratage fonctionne. Selon lui, les acteurs malveillants pouvaient utiliser des thèmes spécialement conçus pour effectuer des attaques de type Pass-the-Hash qui sont utilisés pour voler les hachages des identifiants de connexion Windows en amenant la victime à accéder à un partage SMB (Server Message Block) distant qui nécessite une vérification de la part des utilisateurs.
Les paramètres d'un thème Windows 10 sont enregistrés dans le dossier %AppData%\Microsoft\Windows\Themes sous la forme d'un fichier avec une extension .theme, comme "Custom Dark.theme", par exemple. Ce fichier est essentiellement un fichier de texte simple qui indique à Windows où se trouvent les différentes ressources afin d'utiliser le thème. Selon le chercheur, le fichier de configuration peut être conçu de telle sorte que Windows soit informé qu'au lieu de charger une image stockée localement pour l'arrière-plan du bureau, il lui est demandé de se tourner vers un serveur distant.
Ensuite, l'acteur de la menace configure son site pour que le site Web demande les identifiants de la victime lorsqu'il se connecte au serveur distant. Lorsque Windows tente de charger le thème, le PC Windows 10 affiche une invite et demande alors aux victimes d'entrer leurs identifiants de connexion pour accéder aux données du thème. Si la victime saisit ses identifiants, l'attaquant est en mesure de récolter les données (le nom d'utilisateur et le NTLM hash du mot de passe) lorsqu'elles sont envoyées au serveur du pirate informatique. Les attaquants peuvent alors déchiffrer les informations, et obtenir l'accès au nom d'utilisateur et au mot de passe en texte clair.
« En utilisant un fichier Windows .theme, la clé du fond d'écran peut être configurée pour pointer vers une ressource http/s distante nécessitant une authentification. Lorsqu'un utilisateur active le fichier de thème (par exemple, ouvert à partir d'un lien ou d'une pièce jointe), une invite d'identification Windows est affichée à l'utilisateur », a écrit @bohops.
« La clé du fond d'écran se trouve dans la section "Panneau de configuration [Bureau]" du fichier .theme. D'autres clés peuvent éventuellement être utilisées de la même manière, et cela peut également fonctionner pour la divulgation du netNTLM hash lorsqu'elle est définie pour des emplacements de fichiers distants », a-t-il écrit dans un autre tweet.
Comme les attaques "Pass-the-Hash" enverront le compte utilisé pour se connecter à Windows, y compris un compte Microsoft, ce type d'attaque devient de plus en plus problématique. Depuis que Microsoft abandonne des comptes Windows 10 locaux pour se rapprocher des comptes Microsoft, les attaquants à distance peuvent utiliser cette attaque pour accéder plus facilement à une myriade de services à distance offerts par Microsoft.
Les adresses mail pourraient également servir aux pirates informatiques pour mener des attaques de phishing contre les victimes. Le chercheur en sécurité a déclaré qu'il avait révélé cette attaque à Microsoft au début de l'année, mais qu'on lui avait dit qu'elle ne serait pas corrigée car il s'agit d'une « fonctionnalité par conception ».
Solutions de protection contre une attaque utilisant la faille des thèmes personnalisés Windows 10
Étant donné qu’il s’agit d’une « fonctionnalité par conception », et que la faille ne serait pas corrigée, si vous souhaitez protéger votre PC contre ces fichiers thèmes Windows 10 malveillants, le chercheur en sécurité vous recommande de bloquer ou de réassocier les extensions .themepack, .desktopthemepack et .theme à un autre programme. Cependant, cela brisera la fonction "Thèmes de Windows 10", donc ne l'utilisez que si vous n'avez pas besoin de passer à un autre thème.
Vous pouvez également configurer une politique de groupe appelée "Network security : Restrict NTML : trafic NTML sortant vers les serveurs distants" pour le régler sur "Refuser tout", afin d’empêcher l'envoi de vos informations d'identification NTLM à des hôtes distants. Il faut aussi noter que la configuration de cette option peut poser des problèmes dans les environnements d'entreprise qui utilisent des actions à distance.
Les utilisateurs peuvent également ajouter une authentification multifacteurs à leurs comptes Microsoft pour empêcher qu'ils ne soient accessibles à distance par des attaquants qui réussissent à voler vos informations d'identification.
Source : Tweet
Et vous ?
Que pensez-vous de cette faille dans les thèmes personnalisés? Microsft dit qu’il s'agit d'une « fonctionnalité par conception » qui ne serait pas corrigée. Quel commentaire en faites-vous ? Que pensez-vous des recommandations du chercheur pour éviter des attaques ?Voir aussi :
Microsoft met en garde contre l'exécution d'un code Windows Zero-day qui est activement exploitée, voici ce qu'il faut faire en attendant que Microsoft publie un correctif Microsoft alerte les utilisateurs sur la découverte d'une faille zero-day dans Internet Explorer qui permet à un attaquant de prendre le contrôle total de Windows, aucun correctif n'est disponible Windows 10 : Microsoft publie un correctif d'urgence pour la faille critique Microsoft Server Message Block 3.1.1 (SMBv3), les utilisateurs sont vivement encouragés à faire la mise à jour