Bleeping Computerは2020年9月7日(米国時間)、「Windows 10 themes can be abused to steal Windows passwords」において、Windows 10のテーマおよびテーマパックが「パス・ザ・ハッシュ攻撃(Pass-the-Hash)」に悪用できると指摘した。セキュリティ研究者であるJimmy Bayne氏が公開した情報を引き合いに出し、細工されたWindowsテーマを使ってパス・ザ・ハッシュ攻撃が可能であることが説明されている。
パス・ザ・ハッシュ攻撃で窃取されるパスワードはハッシュ化されており平文ではないのだが、このデータは復号がそれほど難しくないことが知られており、窃取されてしまえばそのままWindowsのアカウントデータが流出したのと同じ扱いになってしまう。攻撃者は細工したWindows 10テーマを悪用して簡単に攻撃を実施することができるため注意が必要。
Jimmy Bayne氏はこうした攻撃を受けないようにするために.theme、.themepack、.desktopthemepackfileといった拡張子をブロックするか、別のプログラムに関連付ける方法を推奨している(ただし、この方法ではWindows 10のテーマ機能が無効になるとされてる)。Bleeping ComputerはNTLM資格情報の送信を拒否する設定についても説明しているが、こちらの設定を有効にすると、企業のIT環境では問題が発生する可能性があるため注意が必要。
そのほか、Bleeping ComputerはMicrosoftアカウントに多要素認証を追加し、資格情報を摂取した攻撃者がリモートからアクセスできないようにすることも推奨している。
