Windows 10のテーマ機能にユーザーの認証情報が盗まれる抜け道があるとセキュリティ研究者のJimmy Bayne氏がTwitterで指摘していることがわかりました(Neowin)。攻撃者が悪意のあるテーマファイルを作成し、ユーザーに認証情報の入力を促すページにリダイレクトさせることができるとのことです。
[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q
— bohops (@bohops) September 5, 2020
この情報によると、攻撃者は、デフォルトの壁紙を認証情報の入力が必要なウェブサイトに変更した「.theme」ファイルを作成することができます。ユーザーがこのテーマファイルを使用して、画面の指示に従って認証情報を入力した場合、送信されたNTLMハッシュを、ハッシュ処理ツールを使ってクラックすることができるのです。
Windows 10では「個人設定 > テーマ」でアクティブなテーマを右クリックし「テーマを保存して共有する」をクリックすることで、テーマを共有するための「.deskthemepack」を作成し、メールなどで送信することも可能です。
悪意のテーマからシステムを保護する方法として、「.theme」「.thomepack」「.desktopthemepackfile」などの拡張子のファイルをブロックする方法や関連付けを変更する方法が提案されています。また、BleepingComputerはNTLM ハッシュ化された認証情報をリモートホストに送信することを制限するグループポリシーを使用する方法を案内していますが、このようなポリシーを適用すると、認証を必要とするその他の機能が正常に動作しなくなる可能性もあるようです。
Bayne氏はこの問題を、Microsoftのセキュリティ・レスポンス・センターに報告したものの「設計上の機能」であるため修正されなかったと説明しています。今後この問題が修正されるかどうかは不明なため、出所の怪しいテーマファイルを使用する際は注意が必要かもしれません。