A vulnerabilidade não requer privilégios especiais para ser explorada, observou ele, tornando-a acessível a uma ampla gama de possíveis invasores. Ele permite que invasores capturem hashes de autenticação NTLM, o que pode levar a uma degradação ainda maior se esses hashes forem quebrados ou usados em um ataque pass-the-hash, e pode ser iniciado visualizando um arquivo de tema malicioso no Windows Explorer, que requer pouca interação do usuário , ele observou. Em alguns casos, acrescentou ele, como downloads automáticos para a pasta de downloads, os usuários podem desencadear uma vulnerabilidade sem saber.
O problema foi encontrado em diferentes partes do processo de manipulação de arquivos do órgão, disse ele, sugerindo que pode haver diversas áreas onde problemas semelhantes podem ocorrer. “O fato de várias vulnerabilidades terem sido descobertas em rápida sucessão sugere que a correção inicial da Microsoft pode não ter sido suficientemente completa, talvez devido a problemas de tempo ou a uma subestimação da gravidade do problema. Dado o número de configurações e casos de uso possíveis para temas do Windows, pode ser difícil para a Microsoft testar todos os cenários possíveis de maneira adequada.
Como Acros explicou em seu blog, o histórico de temas do Windows comprometidos remonta ao ano passado, quando o pesquisador da Akamai, Tomer Peled, descobriu uma vulnerabilidade que poderia desencadear o envio de credenciais NTLM por um usuário se um arquivo de tema fosse visualizado no Windows Explorer. “Isso significa que apenas ver um arquivo de tema malicioso listado em uma pasta ou colocado na área de trabalho será suficiente para vazar informações do usuário sem qualquer ação adicional do usuário”, observa Acros.
