ערכות נושא של Windows 10 שנפרצו יכולות להחליק את פרטי ההתחברות של Microsoft

משתמשי Windows 10 יכולים להתאים אישית את שולחן העבודה שלהם עם ערכות נושא ייחודיות, והם מסוגלים ליצור ולשתף ערכות נושא אלה עם אחרים. האקרים יכולים גם להשתמש בהם כדי לגנוב את האישורים שלך.

פגם בתכונת יצירת הנושא של Windows 10 מאפשרת להאקרים לשנות ערכות נושא מותאמות אישית, שלאחר התקנתן מרמה את המשתמשים להעביר את השם והסיסמה של חשבון Microsoft שלהם דרך דפי כניסה מזויפים. טכניקה זו לא בהכרח תעלה דגלים אדומים עבור אדם ממוצע, מכיוון שכמה ערכות נושא לגיטימיות של Windows 10 מחייבות אותך להיכנס לאחר ההתקנה.

זה "תעביר את ה-Hash"התקפה לא גונבת את הסיסמה שלך מילה במילה, אלא את ה-hash של הסיסמה - גרסה מבולבלת ומעורפלת של נתוני הסיסמה שלך. חברות גיבוב לנתוני סיסמאות כדי לשמור על אבטחה רבה יותר כשהן מאוחסנות בשרתים מרוחקים, אך האקרים יכולים לבטל סיסמאות עם תוכנה זמינה. במקרים מסוימים, ניתן לפצח סיסמאות תוך שניות ספורות.

פגיעות זו התגלתה על ידי חוקר אבטחת הסייבר ג'ימי ביין, שחשף את הממצאים בפומבי בשרשור בטוויטר.

הציוץ הזה אינו זמין כרגע. ייתכן שהוא נטען או הוסר.

ביין התריע בפני מיקרוסופט על סיכון האבטחה, אך החברה טוענת כי אין לה תוכניות לשנות את תכונת Theme מכיוון שהעברת האישורים היא תכונה מיועדת; האקרים פשוט מצאו דרך להשתמש בו בזדון.

ללא שום פעולה רשמית, זה תלוי במשתמשים לשמור על עצמם מפני ערכות נושא מפוקפקות של Windows 10.

BleepingComputerובייןתאר אפשרויות עבור גרסאות ארגוניות של Windows 10, אך אלה לא יעבדו עבור משתמשים כלליים. הצעד החכם ביותר הוא להימנע לחלוטין מעיצובים מותאמים אישית, אך אם תמשיך להשתמש בהם, ודא שאתה מוריד ערכות נושא רשמיות רק ממקורות מאובטחים כמו חנות Windows.

בין אם אתה ממשיך להשתמש בערכות נושא מותאמות אישית ובין אם לא, עליך לעדכן גם את החשבונות שלךסיסמאות ייחודיות, הפעלאימות דו-גורמי, והשתמש ב-מנהל סיסמאות מוצפן. אני גם מציע לבטל את הקישור של חשבונות צד שלישי מחשבון Microsoft שלך ולהשתמש בחשבונות משתמש מקומיים כדי להיכנס למחשב האישי שלך, במקום לחשבון Microsoft שלך. צעדי הגנה כמו אלה מקשים על גורמים מבחוץ לגנוב את הנתונים שלך, גם אם במקרה הם תופסים סיסמה.