Themes – in der deutschen Windows-Version Designs genannt –, die zum Anpassen der Windows-10-Benutzeroberfläche dienen, können von Angreifern missbraucht werden, um Nutzerdaten abzugreifen, wie "Bleepingcomputer" mit Bezug auf den Sicherheitsforscher Jimmy Bayne
berichtet. In den Themes können etwas Bildschirmhintergrund, Maus-Cursor oder Sounds gespeichert werden, auch ist es möglich, die Themes untereinander zu teilen und sich die Themes anderer auf den eigenen Rechner zu laden und per Doppelklick zu installieren.
Wird eine präparierte Theme-Datei auf dem Rechner gestartet, können die Angreifer über eine Pass-the-Hash-Attacke die Nutzerdaten des Users auslesen. Dies wird bewerkstelligt, indem das im Theme hinterlegte Wallpaper auf eine externe Quelle verweist, die Remote Authentication verlangt, wodurch von Windows der User-Name und ein NTLM-Hash des Passworts des eingeloggten Users gesendet wird. Um die Login-Daten des Nutzers zu erhalten, müssen Angreifer schliesslich nur noch den Hash entschlüsseln, was im Test von "Bleepingcomputer" mit einem einfachen Passwort gerade einmal 4 Sekunden in Anspruch nahm. Dabei handelt es nicht um den lokalen Account, sondern um den Microsoft-Account des Nutzers, dessen Verlust schwerwiegende Folgen nach sich ziehen kann.
Da das Feature grundsätzlich korrekt funktioniert, wird die Lücke wohl nicht in absehbarer Zeit geschlossen werden und dem Nutzer bleibt einzig, grosse Vorsicht walten zu lassen oder die mit Themes verbundenen Dateiendungen zu blockieren.
(win)
