特別に細工したWindowsのデスクトップテーマファイルを利用して、Windowsアカウントの認証情報を盗みとれる可能性が指摘されている(BleepingComputerの記事、 Neowinの記事、 発見者のツイート)。

細工の内容としては、デスクトップテーマで使用する背景画像などにログインの必要なリモートサーバー上のパスを指定するというものだ。攻撃者は自分の支配下にあるサーバーを指定することで、Windowsのログインユーザー名とパスワードハッシュ(NTLMハッシュ)を取得できる。BleepingComputerが2016年に実施したテストによると、弱いパスワードを使用している場合はNTLMハッシュから秒単位でパスワードを復号できたという。WindowsへのログインにMicrosoftアカウントを使用している場合は特に問題が大きい。

発見者はMicrosoftに報告しているが、仕様なので修正しないとの回答があったそうだ。そのため、発見者は拡張子「.theme」「.themepack」「.desktopthemepackfile (.deskthemepackの間違い)」の関連付け解除を推奨している。ただし、関連付けを解除すると新たなデスクトップテーマを追加できなくなる。一方、BleepingComputerではグループポリシーでリモートサーバーにNTLMトラフィックを送信しない設定(コンピューターの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→セキュリティオプション→ネットワークセキュリティ: NTLMを制限する: リモートサーバーに対する送信NTLMトラフィック)にする方法を紹介している。こちらも万能ではなく、エンタープライズ環境で共有ファイルを使用する場合に問題が発生する可能性があるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ネットワーク | Windows |

関連ストーリー：
7月に発生したTwitterの大規模なアカウント侵害事件、米国で3人が起訴される 2020年08月01日
最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究 2020年07月06日
Gitの認証ヘルパにおけるURL処理に深刻度の高い不具合が見つかる 2020年04月20日
ほぼ全てのウィルス対策ソフトウェアに「有害なプログラムの挙動を検知できない」脆弱性あり 2010年05月11日
Ubuntu、ロゴやデスクトップテーマを一新 2010年03月08日