研究人员发现Windows 10主题功能存在漏洞 微软表示是设计特性拒绝修复

多年前谷歌旗下安全实验室披露过微软还为修复的安全漏洞,按谷歌规定漏洞细节会在漏洞提交的三个月后公开。

不论开发商是否在三个月内修复都会公开漏洞,结果微软两次没有及时修复导致潜在威胁,微软抨击谷歌是作恶

但有时候有些漏洞微软不愿意去修复,此前微软远程桌面服务就被发现漏洞,微软称其为新增功能因此拒绝修复。

现在再次有研究人员披露Windows 10存在某个低危安全漏洞,但微软表示这就是设计特性因此还是拒绝去修复。

研究人员发现Windows 10主题功能存在漏洞 微软表示是设计特性拒绝修复

主题功能中的安全漏洞:

日前有研究人员披露其在Windows 10主题功能里发现安全漏洞,微软允许用户制作和分享主题供其他人安装等。

Windows 10主题本质上就是一堆壁纸加上描述文件,但研究人员发现该功能存在漏洞可以被攻击者窃取凭据等。

其原理是攻击者自己制作个主题文件但里面夹杂恶意代码,然后将这个主题文件公开分享给别人诱导受害者安装。

当受害者安装该主题时会弹出NTLM身份验证对话框,也就是弹出Windows 10系统级的输入和账号密码对话框。

用户看到弹窗可能会认为是安装主题需要输入账号密码,如果真的输入账号密码则加密后的哈希凭证会自动上传。

攻击者可以使用某些解密工具来解密被系统自动加密的哈希凭证,这样就可以获得受害者账号和密码的明文内容。

微软表示这是设计特性拒绝修复:

研究人员将该漏洞信息提交到微软安全响应中心,不过微软给出的回复是这是设计特性因此并没有修复这枚漏洞

于是研究人员现在将漏洞的相关信息披露出来希望给微软施压,不过目前尚不清楚微软是否会在后续解决该漏洞。

考虑到多数用户使用Windows 10都会注册微软账号而非离线账号,因此这枚漏洞还是非常容易窃取用户信息的。

如果用户使用的是本地账号非微软账号那安全风险倒是会降低,毕竟本地账号并不能登录微软提供的各种服务等。

另外建议所有使用微软账号的个人和企业级用户配置两步验证,这样即便账号密码泄露后攻击者也无法登录账号。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

4 条评论,访客:4 条,站长:0 条
  1. cjk
    cjk发布于: 
    Firefox 80.0 Firefox 80.0 Windows 10 64位版 Windows 10 64位版

    这就跟之前研究人员发现Winrar自解压文件能执行任意代码一样。。。。。。。。

    人家做出这个来就是为了让你执行代码的。。。。。。。。。

  2. guozi
    guozi发布于: 
    Chromium Edge 85.0.564.44 Chromium Edge 85.0.564.44 Windows 10 64位版 Windows 10 64位版

    第一行“微软还为修复”应该是“微软还未修复”

  3. QuietCao
    QuietCao发布于: 
    Chromium Edge 85.0.564.44 Chromium Edge 85.0.564.44 Windows 10 64位版 Windows 10 64位版

    幸好我没在Windows上用过任何主题(话说就改个壁纸和颜色也可以叫主题吗?)

  4. 是洋葱
    是洋葱发布于: 
    Google Chrome 85.0.4183.83 Google Chrome 85.0.4183.83 Windows 10 64位版 Windows 10 64位版

    才知道有分享主题这种功能

发表评论