Nguy cơ bị trộm thông tin từ theme Windows 10 của người khác chia sẻ
Nhà nghiên cứu bảo mật Jimmy Bayne đã phát hiện một lỗ hổng trong phần cài đặt theme (chủ đề) của Windows 10, cho phép kẻ xấu lấy cắp thông tin tài khoản của người dùng.
Theo Neowin, hacker lợi dụng tính năng cài đặt theme từ nguồn khác, do chính Windows cung cấp, để tạo ra tập tin độc hại và khi chúng được mở ra thì người dùng sẽ bị điều hướng đến một cửa sổ đăng nhập tài khoản giả mạo, và “tự giao nộp” thông tin đăng nhập.
Windows cho phép người dùng chia sẻ theme đang sử dụng qua các bước như sau: Personalization > Themes > Save themes for sharing. Khi thực hiện xong, Windows sẽ tạo một tập tin ‘.deskthemepack’ để bạn chia sẻ qua email hoặc các nguồn khác. Người nhận chỉ cần tải xuống và cài đặt.
Tương tự, kẻ tấn công có thể tạo một tập tin có tên dễ gây hiểu nhầm là ‘.theme’, trong đó chứa hình nền mặc định trỏ thẳng đến một khung yêu cầu đăng nhập để xác thực. Sau khi thực hiện đăng nhập, thông tin do người dùng cung cấp sẽ bị mã hóa sang một mã băm NTLM (NTLM hash), rồi được gửi đến một trang web. Tại đó, kẻ tấn công dùng phần mềm khử băm (de-hashing) đặc biệt để lấy ra thông tin đăng nhập.
Khung đăng nhập thông tin giả hiện ra sau khi người dùng kích hoạt theme từ bên ngoài
Để chống lại cách tấn công này, các nhà nghiên cứu bảo mật gợi ý người dùng nên tìm kiếm và chặn các phần mở rộng (extension) như ‘.theme’, ‘.themepack’ và ‘.desktopthemepackfile’. Trang BleepingComputer liệt kê một số giải pháp khác thông qua việc điều chỉnh phần cài đặt chính sách nhóm (Edit group policy) trong Windows 10 để hạn chế việc gửi thông tin đã được mã hóa hàm băm NTLM đến máy chủ khác. Nhưng việc này có thể gây trở ngại đến các thiết lập liên quan đến doanh nghiệp.
Bayne cho biết đã liên hệ đến Trung tâm Phản hồi Bảo mật của Microsoft. Tuy nhiên, lỗ hổng này dường như đã không được xử lý với giải thích rằng nó là “một tính năng theo thiết kế”. Microsoft chưa công bố họ có kế hoạch khắc phục lỗ hổng, hoặc điều chỉnh lại cấu trúc tập tin cho các theme để ngăn việc hacker tiếp tục lợi dụng chúng hay không.
Minh Anh (Theo Neowin)