Bleeping Computer援引安全研究員Jimmy Bayne的Twitter爆料稱：Windows 10的主題設置存在漏洞，惡意行為者可創建特定的主題來實施“哈希傳遞”（Pass-the-Hash）攻擊，從而竊取用戶的憑證。具體說來是，可安裝與其它來源分離的主題功能，使得攻擊者能夠創建惡意主題文件，從而在文件打開時將用戶重定向至需要輸入其憑據的頁面。

據悉，只需在桌面右鍵點擊，即可引導至“個性化-> 主題”設置頁面。用戶可接著點擊“保存要分享的主題”，從而創建一個名為“.deskthemepack”的文件。

該方式創建的自定義主題，可通過電子郵件等渠道進行分享、下載和安裝。攻擊者亦可創建一個類似的“.theme”主題文件，但其中默認的壁紙設置可指向需要身份驗證的網站。

當粗心的用戶不慎輸入其憑據時，包含詳細信息的NTLM 哈希值將被發送到站點進行身份驗證，而後攻擊者就能夠通過特殊的逆運算軟件來暴力破解非複雜的密碼。

用戶需對.themepack 和.desktopthemepackfile 之類的文件提高警惕

作為應對，Bleeping Computer 想到了通過組策略進行一些限制，以阻止將NTLM 哈希憑證發送到遠程主機。只是對於企業用戶來說，這麼做可能會干擾到正常的身份驗證。

Bayne補充道，其已將這些發現披露給微軟安全響應中心（MSRC）。可惜由於這是一項“設計特性”，該bug並未得到修復。

至於軟件巨頭是否會在後續正式修復、或調整主題文件結構以防止不良利用行為，目前暫不得而知。