背後にあるセキュリティ調査は、ツイートのチェーンでハッキングがどのように機能するかを説明するTwitterに投稿しました。@bohopsは、ハッカーが特別に細工されたテーマを使用して、ユーザーからの検証を必要とするリモートサーバーメッセージブロック(SMB)共有に被害者をだましてアクセスさせることによって、Windowsログイン資格情報ハッシュを盗むために使用されるPass-the-Hashハックを実行することができると書いています。
感染したWindows 10のテーマファイルには、被害者の壁紙を変更するコード行が含まれ、この被害者のPCにPCの壁紙として使用するために攻撃者のウェブサイトから写真を取得するように指示します。次に、脅威アクターは、Web サイトが Web サイトに接続するときに被害者の資格情報を要求するようにサイトを設定します。Windows 10 PC は、被害者に画像にアクセスするためのログイン資格情報の入力を求めます。被害者が自分の資格情報を入力すると、攻撃者はハッカーのサーバーに送信されたときにデータを収集できます。攻撃者は情報を解読し、ユーザー名とパスワードにアクセスできます。
セキュリティ研究者は、彼が今年の初めにマイクロソフトにこの脆弱性を開示したと言いました、そして、同社はそれが「設計上の特徴」であるため、この脆弱性を修正しないと彼に言いました。このような悪意のある Windows 10 テーマ ファイルから PC を保護する場合は、.themepack、.desktopthemepackfile、および .theme の拡張機能を別のプログラムにブロックまたは再関連付けることを推奨します。Windows 10 OS のテーマ機能が壊れるだけでなく、’ネットワーク セキュリティ: NTML を制限する: リモート サーバーへの NTML トラフィックを送信する’ グループ ポリシーを構成して’すべて拒否” に設定することもできます。また、Microsoft アカウントに多要素認証を追加して、ハッカーがアカウントにリモートからアクセスできないようにすることをお勧めします。