حذر باحث أمني من تقنية يمكن أن يستغلها المتسللون لخداع المستخدمين للكشف عن تفاصيل تسجيل الدخول الخاصة بهم إلى Windows عند تطبيق سمة. لكن هناك تدابير وقائية يمكن وضعها. من السهل تصميم السمات المخصصة ، لكن يمكن إساءة استخدام سمات Windows 10 لسرقة كلمات مرور حساب Microsoft وأن المستخدمين الذين يفضلون تلك السمات المصممة خصيصًا قد يقعون ضحية لهجمات “Pass-the-Hash”.

يجد ممثلو التهديدات دائمًا طرقًا جديدة لاختراق أجهزة الأشخاص. يمكن أن يمنحهم عيب جديد في سمات Windows 10 المخصصة التي تم الكشف عنها يوم السبت الماضي بواسطة باحث أمني أفكارًا. يقول الباحث وراء حساب bohops على Twitter إنه اكتشف أن المهاجمين يمكنهم استخدام سمات Windows 10 المخصصة لسرقة معلومات حساب الضحايا باستخدام نوع من الهجوم.

يسمح لك Windows 10 بإنشاء سمات مخصصة ، ويمكن أن تحتوي هذه السمات على أصوات وألوان مخصصة ومؤشرات الماوس وخلفيات يستخدمها نظام التشغيل. يمكن للمستخدمين بعد ذلك اختيار التبديل بين السمات لتغيير مظهر نظام التشغيل Windows 10. يمكن أيضًا مشاركة حزم السمات المخصصة لـ Windows 10 عبر البريد الإلكتروني مع مستخدمين آخرين ، عن طريق النقر بزر الماوس الأيمن على سمة نشطة واختيار “حفظ السمة لمشاركتها” ، مما سيسمح بتجميع السمة في ملف “.deskthemepack”.

ونشر الباحث الأمني ​​سلسلة تغريدات توضح كيفية عمل الاختراق. ووفقًا له ، يمكن للجهات الفاعلة الخبيثة استخدام السمات المصممة خصيصًا لتنفيذ هجمات تمرير التجزئة التي تُستخدم لسرقة بيانات اعتماد تسجيل الدخول إلى Windows عن طريق جعل الضحية تصل إلى مشاركة Server Message Block (SMB) عن بُعد تتطلب التحقق من المستخدمين.

يتم حفظ إعدادات سمة Windows 10 في المجلد٪ AppData٪ \ Microsoft \ Windows \ Themes كملف بامتداد .theme ، مثل “Custom Dark.theme” ، على سبيل المثال. هذا الملف هو في الأساس ملف نصي بسيط يخبر Windows بمكان وجود الموارد المختلفة من أجل استخدام السمة. وفقًا للباحث ، يمكن تصميم ملف التكوين بحيث يتم إخبار Windows أنه بدلاً من تحميل صورة مخزنة محليًا لخلفية سطح المكتب ، يُطلب منه البحث عن خادم بعيد.

ثم يقوم ممثل التهديد بتكوين موقعه بحيث يطلب موقع الويب بيانات اعتماد الضحية عندما يتصل بالخادم البعيد. عندما يحاول Windows تحميل السمة ، يعرض جهاز الكمبيوتر الذي يعمل بنظام Windows 10 مطالبة ثم يطلب من الضحايا إدخال بيانات اعتماد تسجيل الدخول الخاصة بهم للوصول إلى بيانات السمة. إذا أدخلت الضحية بيانات اعتمادها ، فسيكون المهاجم قادرًا على جمع البيانات (اسم المستخدم وتجزئة NTLM لكلمة المرور) عند إرسالها إلى خادم المتسلل. يمكن للمهاجمين بعد ذلك فك تشفير المعلومات والوصول إلى اسم المستخدم وكلمة المرور بنص واضح.

نظرًا لأن هجمات “Pass-the-Hash” سترسل الحساب المستخدم لتسجيل الدخول إلى Windows ، بما في ذلك حساب Microsoft ، فإن هذا النوع من الهجوم يصبح أكثر وأكثر إشكالية. نظرًا لأن Microsoft تتخلى عن حسابات Windows 10 المحلية للاقتراب من حسابات Microsoft ، يمكن للمهاجمين عن بُعد استخدام هذا الهجوم للوصول بسهولة إلى عدد لا يحصى من الخدمات عن بُعد التي تقدمها Microsoft.

يمكن أيضًا استخدام عناوين البريد الإلكتروني من قبل المتسللين لتنفيذ هجمات التصيد الاحتيالي ضد الضحايا. وقال الباحث الأمني ​​إنه كشف عن الهجوم لشركة مايكروسوفت في وقت سابق من هذا العام ، لكن قيل له إنه لن يتم إصلاحه لأنه “ميزة حسب التصميم”.