Cyberthreat.id – Suka berganti-ganti tema Windows 10? Tema memang membuat tampilan Windows menjadi semakin menarik.

Namun, jangan salah, penjahat siber pun memanfaatkan ketidaktahuan pengguna Windows 10 dengan membuat “tema dan paket tema khusus untuk mencuri informasi pribadi”.

Peneliti keamanan siber, Jimmy Bayne (@bohops), mengatakan, tema Windows yang dirancang secara khusus bisa dipakai untuk serangan “Pass-the-Hash”.

“Serangan ini digunakan untuk mencuri nama login dan hash kata sandi dengan mengelabui pengguna agar mengakses Server Message Block (SMB) jarak jauh yang memerlukan otentikasi,” kata dia seperti dikutip dari BleepingComputer, Senin (7 September 2020).

SMB adalah protokol jaringan yang dipakai komputer Windows yang memudahkan sistem dalam jaringan sama untuk berbagi file.

Pengaturan tema disimpan pada folder% AppData%\Microsoft\Windows\Themes sebagai file dengan ekstensi .theme, seperti “Custom Dark.theme.”

Tema Windows kemudian dapat dibagikan dengan pengguna lain dengan mengklik kanan pada tema aktif dan memilih “Save theme for sharing” yang akan mengemas tema ke dalam file .deskthemepack.

Paket tema desktop ini kemudian dapat dibagikan melalui email atau sebagai unduhan di situs web dan diinstal dengan mengklik dua kali.

Metode serangan

Karena serangan “Pass-the-Hash” akan mengirim akun yang digunakan untuk masuk ke Windows, termasuk akun Microsoft, jenis serangan ini menjadi lebih bermasalah.

Apalagi peretas bisa menghapus kata sandi untuk akses nama login dan kata sandi pengunjung. Hanya butuh empat detik untuk menghapusnya.

Dalam metode baru yang ditemukan oleh Bayne, penyerang dapat membuat file .theme yang dibuat secara khusus dan mengubah pengaturan wallpaper desktop, seperti di bawah ini.

Sejak Microsoft pindah dari akun Windows 10 lokal dan menuju akun Microsoft, penyerang jarak jauh dapat menggunakan serangan ini untuk lebih mudah mengakses berbagai layanan jarak jauh yang ditawarkan oleh Microsoft.

Ini termasuk kemungkinan mengakses email, Azure, atau jaringan perusahaan yang dapat diakses dari jarak jauh.

Bayne menyatakan telah melaporkan ke Microsoft awal tahun ini, tetapi perusahaan mengatakan itu tidak akan memperbaiki dengan alasan hal itu bagian dari “feature by design”.

Melindungi file tema berbahaya

Untuk melindungi dari file tema berbahaya, Bayne menyarankan agar pengguna memblokir atau mengaitkan ulang ekstensi .theme, .themepack, dan .desktopthemepackfile ke program lain.

Namun, hal itu akan merusak fitur Tema Windows 10, jadi gunakan jika Anda tidak perlu beralih ke tema lain.

Pengguna Windows dapat mengonfigurasi kebijakan grup bernama “'Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers” dan menyetel ke “Deny All” untuk mencegah kredensial NTLM dikirim ke perangkat jarak jauh.

Harap dicatat, mengonfigurasi opsi ini dapat menyebabkan masalah di lingkp perusahaan yang menggunakan pilihan “berbagi jarak jauh”.

Atau, Anda bisa menambahkan otentikasi multi-faktor ke akun Microsoft Anda untuk mencegahnya diakses dari jarak jauh.[]

Redaktur: Andi Nugroho