Mit Themes lässt sich Windows aufpeppen. Doch die Themes können Angreifer ausnutzen, um die Zugangsdaten für das Microsoft-Konto zu stehlen. Das geht theoretisch auf jedem Windows-PC. Microsoft will das aber nicht ändern.
Der Sicherheitsforscher Jimmy Bayne beschreibt unter seinem Twitternamen Bohops auf Twitter eine Möglichkeit, wie Angreifer die Microsoft-Kontodaten eines Windows-Nutzers stehlen können.
Zum exklusiven Angebot: Windows 10 Pro für nur 39,99 Euro
Der als „Credential Harvesting Trick“ ("Zugangsdaten-Ernte-Trick") bezeichnete Angriffsweg verwendet eine Windows-.theme-Datei, also eine Theme-Datei mit Hintergrundbild/Wallpaper und weiteren Anpassungen für das Farbschema, den Sound und den Mauszeiger von Windows. Dabei handelt es sich aber nicht um die von Windows bereits mitgelieferten Themes – diese finden Sie unter Windows-Einstellungen, Personalisierung, Designs. Sondern um Themes, die von anderen Anbietern zum Herunterladen auf den Windows-Rechner angeboten werden.
Dieses Theme lässt sich von einem Angreifer so konfigurieren, dass das Theme sich automatisch mit einem fremden Server zur Authentifizierung verbindet, um von dort Wallpaper und andere Theme-Bestandteile herunterzuladen. Wenn nun der Anwender das Hintergrundbild aktivieren will, bekommt er das Anmeldefenster von Windows angezeigt. Darin soll er sich mit seinen Microsoft-Kontodaten anmelden.
Diese Anmeldedaten werden zwar in einem Hashwert gespeichert und an den Server des Theme-Anbieters übertragen. Doch dieser Hashwert lasse sich leicht per Brute-Force-Attacke knacken (also durch Durchprobieren aller Möglichkeiten – das klappt besonders gut bei einfachen Passwörtern, die Begriffe aus Wörterbüchern verwenden). Damit würde der Angreifer das Microsoft-Konto des fremden Benutzers besitzen.
Bayne hat seine Entdeckung schon vor Monaten an Microsoft gemeldet. Doch Microsoft sieht das nicht als Sicherheitslücke, sondern als Feature und möchte diese Funktion nicht ändern, wie die IT-Sicherheitsnachrichtenseite Bleeping Computer
schreibt.
Windows-Nutzer können diesen Angriffsweg aber vermeiden, indem sie für die Installation von Windows-Themes nie ihr Microsoft-Benutzerpasswort eingeben. Und ausschließlich Themes von Microsoft installieren, beispielsweise von
hier
oder
hier.
Zusätzlich kann man die Dateiendungen .theme, .themepack und .desktopthemepackfile mit einem anderen Programm verknüpfen, damit nicht mehr der Anmeldebildschirm erscheint. Dann können Sie aber die Themes auch nicht mehr installieren.