他们检测到一种威胁，该威胁使用Windows 中的“准备好的”主题来窃取我们计算机的访问密码

能够改变我们设备的外观是用户最喜欢的方面之一。 更改桌面布局就像下载和应用主题一样简单。而事实上，在这里我们看到了例如微软在其应用程序商店中定期推出的主题和设计。

"

Windows 10 主题和主题包提供了大量选项，几乎所有选项都是安全的，尤其是微软发布的主题和主题包。我们在谈论安全时几乎都提到了这一点，因为一位研究人员发现了特别设计的主题来窃取我们的密码 "

传递哈希攻击

Themes allow to change almost any aspect of our desktop Colors, backgrounds, icons, cursor...几乎一切都可以通过修改下载或我们自己定制的主题。主题创建一个配置，该配置作为扩展名为 .theme 的文件存储在路径 AppData%\Microsoft\Windows\Themes 中。

"

结果，扩展名为.theme的文件可以分享给其他用户，这就是研究员@bohops在其推特账号上发现的问题所在。 Themes 特别打包以对我们的计算机执行哈希传递 (PtH) 攻击。"

实施攻击非常简单，以至于在Bleeping Computer他们采用了这种方法并成功地获得了密码而没有进一步的复杂性。

一种旨在窃取凭据以获取对其他系统组件的访问权限的攻击类型旨在获得对系统的完全控制它并访问我们存储的和通过操作系统循环的所有类型的信息。

攻击者试图访问并获取计算机上的登录凭证，一旦获得，他就可以在连接到网络的其他计算机上识别自己。 访问密码的哈希值的问题可以访问各种服务。在这种情况下，问题不是访问明文密码，而是 NTLM 哈希，这使得攻击更容易进行。

在这种情况下，这个修改后的.theme文件所做的是更改设置以便主题必须搜索资源或需要身份验证的远程文件。此时当您尝试远程访问该文件时，它会自动尝试通过发送 NTLM 哈希和 Windows 帐户用户名登录。

在这种情况下，威胁发现者推荐的解决方案是不要下载或安装带有这些扩展名的文件，尤其是当它们来自不可信的站点时。另一个更极端的措施是阻止所有 .theme、.themepack 文件扩展名。和.desktopthemepack文件，但这样我们将无法更改我们计算机上的主题。

通过|电脑在响