Windows 10 : les thèmes peuvent voler votre mot de passe !

Prenez garde lorsque vous installez un thème Windows 10 depuis une source inconnue. Ces derniers pourraient bien permettre à des hackers de mettre la main sur vos identifiants de connexion, et donc votre mot de passe, avec toutes les conséquences néfastes que cela comporte. C’est le chercheur en sécurité Jimmy Blane qui alerte de cette faille.

Il explique qu’il est possible d’exploiter un thème pour voler les identifiants d’un utilisateur. Un thème est en effet constitué de plusieurs éléments

– image d’arrière-plan, fichiers audio, etc

– reliés entre eux par un fichier .theme, qui n’est autre qu’un fichier texte qui va indiquer à l’ordinateur où puiser les différents éléments.

Sauf que ce fichier .theme peut être modifié pour forcer Windows à se connecter à un serveur distant au lieu de charger l’arrière-plan du bureau. Jimmy Blane en a ainsi fait la démonstration, en inscrivant une ressource web HTTPS dans ce fichier. Lorsque ce dernier se charge, une fenêtre de connexion s’affiche, vous invitant à renseigner vos identifiants Windows.

[Credential Harvesting Trick] Using a Windows .theme file, the Wallpaper key can be configured to point to a remote auth-required http/s resource. When a user activates the theme file (e.g. opened from a link/attachment), a Windows cred prompt is displayed to the user 1/4 pic.twitter.com/rgR3a9KP6Q

— bohops (@bohops) September 5, 2020

Si certains pourraient tomber dans le panneau – pensant que l’ouverture de cette fenêtre de connexion n’est pas lié au chargement du thème – il n’empêche que cette méthode reste parfaitement visible pour l’utilisateur. Néanmoins, le chercheur en sécurité explique que le fichier .theme peut être modifié avec des ressources web de type WebDAV ou SMB, ce qui lancerait une authentification automatique via un protocole NTLM. Il s’agirait alors d’une toute autre histoire : vos identifiants seraient immédiatement envoyés vers un serveur distant au chargement du thème vérolé. Sans action de l’utilisateur, seul le login et une empreinte du mot de passe seraient envoyés. Cette empreinte pourrait néanmoins permettre à un hacker de deviner votre mot de passe via une simple attaque par dictionnaire.

Heureusement, si vous souhaiter continuer à utiliser des thèmes en toute sécurité, il existe une méthode pour se prémunir de ce type de faille. Dans l’éditeur de stratégie de groupe locale sur Windows 10 Pro et Entreprise, il est possible de refuser que le trafic NTLM puisse être envoyé vers des serveurs distants. Cela pourrait néanmoins impacté le fonctionnement de certains logiciels qui utilise cette fonction.

Articles similaires: