研究人员发现Windows 10主题功能存在漏洞 微软表示是设计特性拒绝修复

多年前谷歌旗下安全实验室披露过微软还为修复的安全漏洞，按谷歌规定漏洞细节会在漏洞提交的三个月后公开。

不论开发商是否在三个月内修复都会公开漏洞，结果微软两次没有及时修复导致潜在威胁，微软抨击谷歌是作恶。

但有时候有些漏洞微软不愿意去修复，此前微软远程桌面服务就被发现漏洞，微软称其为新增功能因此拒绝修复。

现在再次有研究人员披露Windows 10存在某个低危安全漏洞，但微软表示这就是设计特性因此还是拒绝去修复。

主题功能中的安全漏洞：

日前有研究人员披露其在Windows 10主题功能里发现安全漏洞，微软允许用户制作和分享主题供其他人安装等。

Windows 10主题本质上就是一堆壁纸加上描述文件，但研究人员发现该功能存在漏洞可以被攻击者窃取凭据等。

其原理是攻击者自己制作个主题文件但里面夹杂恶意代码，然后将这个主题文件公开分享给别人诱导受害者安装。

当受害者安装该主题时会弹出NTLM身份验证对话框，也就是弹出Windows 10系统级的输入和账号密码对话框。

用户看到弹窗可能会认为是安装主题需要输入账号密码，如果真的输入账号密码则加密后的哈希凭证会自动上传。

攻击者可以使用某些解密工具来解密被系统自动加密的哈希凭证，这样就可以获得受害者账号和密码的明文内容。

微软表示这是设计特性拒绝修复：

研究人员将该漏洞信息提交到微软安全响应中心，不过微软给出的回复是这是设计特性因此并没有修复这枚漏洞。

于是研究人员现在将漏洞的相关信息披露出来希望给微软施压，不过目前尚不清楚微软是否会在后续解决该漏洞。

考虑到多数用户使用Windows 10都会注册微软账号而非离线账号，因此这枚漏洞还是非常容易窃取用户信息的。

如果用户使用的是本地账号非微软账号那安全风险倒是会降低，毕竟本地账号并不能登录微软提供的各种服务等。

另外建议所有使用微软账号的个人和企业级用户配置两步验证，这样即便账号密码泄露后攻击者也无法登录账号。