Специалист по информационной безопасности Джимми Бэйн в Твиттере опубликовал информацию об уязвимости в настройках графических тем системы Windows 10. Злоумышленники могут украсть пользовательские данные при помощи атаки вида Pass-the-Hash. Возможность устанавливать отдельные темы из сторонних источников позволяет злоумышленникам создавать вредоносные файлы. При открытии эти файлы перенаправля.т пользователей на страницу, где требуется вводить личную информацию.

В разделе Персонализация > Темы пользователи могут делиться темами собственного изготовления. Создаётся файл с расширением .deskthemepack, который можно отправить по электронной почте или другими способами, после чего любой желающий может скачать и установить эту тему. Злоумышленники могут создавать файл .theme, который перенаправляет на сайт с требованием авторизации. Когда пользователи вводят логин и пароль, их пароли могут быть расшифрованы.

Исследователь рекомендует блокировать файлы с расширениями ‘.theme’, ‘.themepack’, ‘.desktopthemepackfile’. Есть несколько альтернативных вариантов защиты через групповые политики, которые запрещают отправку данных с кешем NTLM на удалённые хосты. Правда, это может помешать корпоративным настройкам, где данная функциональность нужна для авторизации.

Информация о сделанном открытии была отправлена в Microsoft Security Response Center (MSRC). Однако, баг не был закрыт, поскольку «это не баг, а фича». Дальнейшие действия Microsoft в настоящее время неизвестны.

Поскольку большинство пользователей входят в систему при помощи учётной записи Microsoft, кража её логина и пароля может привести к доступу к электронной почте, облачному хранилищу OneDrive и данным Azure. Пользователям рекомендуется использовать двухфакторную аутентификацию.