2532807

Themes: Angreifer können jeden Windows-PC angreifen

09.09.2020 | 14:05 Uhr | Hans-Christian Dirscherl

Mit Themes lässt sich Windows aufpeppen. Doch die Themes können Angreifer ausnutzen, um die Zugangsdaten für das Microsoft-Konto zu stehlen. Das geht theoretisch auf jedem Windows-PC. Microsoft will das aber nicht ändern.

Der Sicherheitsforscher Jimmy Bayne beschreibt unter seinem Twitternamen Bohops auf Twitter eine Möglichkeit, wie Angreifer die Microsoft-Kontodaten eines Windows-Nutzers stehlen können.

Zum exklusiven Angebot: Windows 10 Pro für nur 39,99 Euro

Der als „Credential Harvesting Trick“ ("Zugangsdaten-Ernte-Trick") bezeichnete Angriffsweg verwendet eine Windows-.theme-Datei, also eine Theme-Datei mit Hintergrundbild/Wallpaper und weiteren Anpassungen für das Farbschema, den Sound und den Mauszeiger von Windows. Dabei handelt es sich aber nicht um die von Windows bereits mitgelieferten Themes – diese finden Sie unter Windows-Einstellungen, Personalisierung, Designs. Sondern um Themes, die von anderen Anbietern zum Herunterladen auf den Windows-Rechner angeboten werden.

Der Anmeldebildschirm zur Eingabe der Zugangsdaten.
Vergrößern Der Anmeldebildschirm zur Eingabe der Zugangsdaten.
© twitter.com/bohops/status/1302264069311926274

Dieses Theme lässt sich von einem Angreifer so konfigurieren, dass das Theme sich automatisch mit einem fremden Server zur Authentifizierung verbindet, um von dort Wallpaper und andere Theme-Bestandteile herunterzuladen. Wenn nun der Anwender das Hintergrundbild aktivieren will, bekommt er das Anmeldefenster von Windows angezeigt. Darin soll er sich mit seinen Microsoft-Kontodaten anmelden.

Diese Anmeldedaten werden zwar in einem Hashwert gespeichert und an den Server des Theme-Anbieters übertragen. Doch dieser Hashwert lasse sich leicht per Brute-Force-Attacke knacken (also durch Durchprobieren aller Möglichkeiten – das klappt besonders gut bei einfachen Passwörtern, die Begriffe aus Wörterbüchern verwenden). Damit würde der Angreifer das Microsoft-Konto des fremden Benutzers besitzen.

Bayne hat seine Entdeckung schon vor Monaten an Microsoft gemeldet. Doch Microsoft sieht das nicht als Sicherheitslücke, sondern als Feature und möchte diese Funktion nicht ändern, wie die IT-Sicherheitsnachrichtenseite Bleeping Computer schreibt.

Windows-Nutzer können diesen Angriffsweg aber vermeiden, indem sie für die Installation von Windows-Themes nie ihr Microsoft-Benutzerpasswort eingeben. Und ausschließlich Themes von Microsoft installieren, beispielsweise von hier oder hier. Zusätzlich kann man die Dateiendungen .theme, .themepack und .desktopthemepackfile mit einem anderen Programm verknüpfen, damit nicht mehr der Anmeldebildschirm erscheint. Dann können Sie aber die Themes auch nicht mehr installieren.

PC-WELT Marktplatz

2532807