Windows 10预装的密码管理器可能会有凭证泄漏风险

xiaohui 漏洞 2017年12月18日发布

导语:Google和微软一直互怼已经不是什么新闻了,不过对于普通的用户来说,两家公司的竞争才更能更有利于消费者。Tavis Ormandy就一直致力于寻找Windows的各种漏洞,而且每次找到后,都是直接将这些发现公之于众,搞得微软很是狼狈。

wnaMFFs4HZ73GYveSCBdJVyaUPuDsl6KjKa5kmmBcqA.png

Google和微软一直互怼已经不是什么新闻了,不过对于普通的用户来说,两家公司的竞争才更能更有利于消费者。Tavis Ormandy就一直致力于寻找Windows的各种漏洞,而且每次找到后,都是直接将这些发现公之于众,搞得微软很是狼狈。

Tavis Ormandy介绍

Google信息安全工程师,英国人,目前居住在瑞士。是目前最著名的安全技术专家,曾被eWeek网站评为安全界最具影响力的15个人之首。在Google,他的主要责任是确保Google产品通过安全测试。他也是以安全著称的Gentoo Linux发布版的安全小组联席负责人。

漏洞介绍

这不就在本月的15号,Ormandy又新曝出了预装在Windows 10的密码管理器中发现漏洞,该漏洞可能会导致用户设置的密码泄漏,从而让黑客远程窃取用户的登录凭证。

Windows 10预装的密码管理器就是Keeper,Keeper是面向企业和个人的领先密码安全管理程序和数字保管库。

从Windows10 版本 1607(也称为周年更新) 开始,微软就在其操作系统中增加了一项名为Content Delivery Manager的新功能,该功能会悄悄地安装最新的“建议应用程序”,而不会通知用户。而Keeper就是在这样的情境中被安装在用户的电脑上的,要是我不说估计还有许多用户不知道有此应用,其实说实话我起初也不知道,还是几个月前Reddit的几个用户向我介绍了他们的新发现

为了验证他们的发现,我在MSDN官网镜像下载了Windows 10最新系统,并创建了一个完全的虚拟运行环境。结果证明在默认情况下,我的设备已经安装了名为Keeper的密码管理器。

Ormandy解释说:

“这是微软的捆绑销售,他们可能与Keeper达成了某种交易。”

远程窃取登录凭证

在发现该问题后,Ormandy决定测试一下Keeper密码管理器是否有漏洞,如果有能够进行怎样的攻击?

经过几次测试之后,Ormandy在密码管理器中发现了一个严重的漏洞,而且攻击者可以利用这个漏洞完全破坏Keeper的安全性。由于Keeper的密码和系统的远程根的访问密码是共享的,所以该漏洞就允许黑客窃取用户所登录过网站的所有凭证。

Keeper问题频发

其实,本次Ormandy所发现的Keeper漏洞和他在2016年8月所发现的Keeper漏洞非常相似,当时恶意网站就已经可以使用该漏洞就来窃取用户登录凭证。不过当时Keeper还没有在微软的捆绑销售中,用户如果要用还要单独安装。

微软的回应

另外,Ormandy也发布了一个利用该漏洞盗取Twitter登录凭证的演示视频,并说到:

“Keeper密码管理器,不但没有起到任何防护效果的,而且还能让黑客盗取你的密码。”

其实Ormandy在15号曝出这个新闻之前,就已经给了微软90天进行更新的时间。

不过截止目前微软还没有任何行动,用Ormandy的话来说,他是迫不得已才公开这些发现的,以便督促微软加快更新速度。

其实,他这样说并不是没有道理,因为2015年 Ormandy 曾发文指出,微软的虚拟DOS机(VDM)中存在一个漏洞,非特权用户可以将代码直接注入系统内核,可能改变操作系统高度敏感的部分,从而完全控制系统。而这个漏洞是1993年7月Windows NT首次引入的,已经存在17年了。据Ormandy说,2009年6月他就已经将这个安全漏洞告知了微软了,也就是说微软在得到提醒之后的6年中还是什么也没有做。

不过本次,微软在Ormandy的帖子发布后不久就很快表了态,并解释说:

“这个问题是第三方应用程序也就是Keeper的问题,我们已经通知了开发商,要求他们尽快修补此漏洞。”

Keeper的回应

Keeper公司也已经确认了这个漏洞,并且发布了11.4版本来更新解决该漏洞。

该公司表示:

“建议没有升级到最新版本的用户,先不要使用Keeper进行密码管理。因为这个潜在的漏洞会要求Keeper用户在登录到浏览器时,把他们重定向到恶意网站,然后通过使用‘clickjacking’技术来欺骗用户输入登录凭证。”

Keeper-password-manager-flaw.png

缓解措施

尽管这不是微软产品本身的问题,但也间接地暴露了微软产品推广时所使用的手段,而这种方式很容易造成用户在不知情的情况下,信息被泄露。

虽然Keeper被预先安装了进来,不过用户也可以将其卸载禁用这个应用,这可以通过注册表设置来完成。

本文翻译自:http://securityaffairs.co/wordpress/66802/hacking/keeper-password-manager-flaw.html 如若转载,请注明原文地址: http://www.4hou.com/vulnerable/9342.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论