Eu nunca gostei de personalizar tanto a minha instalação do Windows 10. Gosto de tudo muito simples, com poucos efeitos visuais, um tema escuro para retardar os futuros problemas visuais que eu posso vir a ter, e alguns poucos acréscimos visuais que considero interessantes no sistema operacional da Microsoft.
Mas me reconheço como uma exceção da regra, já que vários outros usuários personalizam e muito o Windows 10, a ponto de transformar a proposta da Microsoft em plataformas de outros desenvolvedores. Incluindo o macOS, obviamente.
Porém, esses mesmos usuários não fazem a menor ideia que podem estar brincando com fogo. E é meu dever alertar esses usuários sobre os perigos que estão correndo.
Os perigos dos temas personalizados no Windows 10
[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q
— bohops (@bohops) September 5, 2020
Para os usuários que adoram instalar os temas personalizados do Windows 10, más notícias: muito provavelmente as suas credenciais de acesso de sua conta Microsoft ou as credenciais de acesso do computador estão em sério risco de estarem comprometidas.
O investigador de segurança Jimmy Bayne descobriu uma falha de segurança na configuração dos temas do Windows 10, o que pode permitir que cibercriminosos roubem as credenciais de acesso dos usuários, criando um tema específico para realizar o ataque.
É o tipo de falha tão besta e tão improvável, que é certo que ninguém na Microsoft imaginou que isso poderia acontecer um dia. Mas está acontecendo (infelizmente), e é sempre melhor você prevenir do que remediar.
Hoje, o Windows 10 permite a instalação de temas de fontes de terceiros, e é isso o que pode permitir que atacantes criem um arquivo malicioso que, quando executado, vai redirecionar os usuários para uma página que vai solicitar as suas credenciais de acesso. O usuário vai acreditar que a página é oficial, e vai ceder esses dados de acesso, que acabam ficando com os atacantes com muita facilidade.
Os usuários do Windows 10 podem compartilhar temas personalizados indo em Configurações > Temas, e clicando em Salvar Tema para depois compartilhar aquele conteúdo. Executando tal procedimento, é criado um arquivo com extensão .deskthemepack, que pode ser compartilhado através do e-mail eletrônico ou outras fontes (pode ser as redes sociais e aplicativos de mensagens instantâneas).
Assim, o cibercriminoso pode criar um tema malicioso com essa extensão de temas personalizados para enganar o usuário, que acaba sendo redirecionado para uma página web onde são solicitadas as credenciais de acesso à conta, algo que é totalmente desnecessário para utilizar esse tipo de arquivo.
Nessa página, quando os usuários entram com os seus dados de conta, é enviado um hash NTLM com os detalhes do site para essa autenticação, e as senhas não complexas são abertas com um software de eliminação de hash.
Como evitar cair nesse tipo de golpe?
Uma forma para evitar esse tipo de golpe é bloqueando extensões como .theme, .themepack e .desktopthemepackfile, além de realizar vários passos através de uma política do grupo que restringe o envio de credenciais com hash NTLM para os hosts remotos.
A má notícia é que tal procedimento não é recomendado para os usuários iniciantes, pois são configurações sensíveis que podem interferir no bom funcionamento do Windows 10 como um todo.
A boa notícia é que a Microsoft já sabe sobre a existência do problema… mas não solucionou a falha até o momento em que esse post foi produzido, já que esse é um problema provocado por uma característica de design, o que deixa a sua solução da falha de segurança como algo incerto.
O mais sensato é que o usuário só instale temas personalizados oficiais da Microsoft, mas… será que vamos encontrar sensatez em alguns usuários?
Via Neowin