กรุณาปิด โปรแกรมบล๊อกโฆษณา เพราะเราอยู่ได้ด้วยโฆษณาที่ท่านเห็น
Please close the adblock program. Because we can live with the ads you see


ข่าว นักวิจัยรายงานช่องโหว่ Bitwarden ทำคนร้ายถอดรหัสฐานข้อมูลรหัสได้หากเปิดใช้ Windows Hello นักพัฒนาแก้ไปตั้งแต่เดือนเมษายน

News 

Moderator
สมาชิกทีมงาน
Moderator
Verify member
เข้าร่วม
1 มิถุนายน 2011
ข้อความ
9,428
คะแนนปฏิกิริยา
0
คะแนน
0
RedTeam Pentesting บริษัทความปลอดภัยซอฟต์แวร์จากเยอรมนีรายงานถึงการตรวจสอบความปลอดภัยของ Bitwarden ซอฟต์แวร์เก็บรหัสผ่าน โดยพยายามถอดรหัสฐานข้อมูลเมื่อผู้ใช้เปิดใช้งานฟีเจอร์ปลดล็อกฐานข้อมูลด้วย Windows Hello ที่ทำให้ผู้ใช้ไม่ต้องพิมพ์ master password ทุกรอบที่ต้องการใช้งาน แต่เพียงแต่ตรวจสอบลายนิ้วมือหรือใบหน้าเท่านั้น

ทีมงานพบว่า Bitwarden อาศัยฟีเจอร์ Credential Manager ของวินโดวส์ในการเก็บกุญแจถอดรหัสหลังจากผู้ใช้ในรหัสผ่านครั้งแรก ฟีเจอร์นี้เข้ารหัสข้อมูลภายในด้วยรหัสผ่านของผู้ใช้ และยังสำรองกุญแจไปยัง domain controller อีกด้วย แนวทางนี้ไมโครซอฟท์ออกแบบให้ผู้ใช้ที่ลืมรหัสผ่านสามารถกู้ฐานข้อมูลภายใน Credential Manager ออกมาได้แม้เปลี่ยนรหัสไปแล้ว ดังนั้นหากคนร้ายสามารถเข้าถึง domain controller และเข้าถึงเครื่องของเหยื่อได้ ก็จะสามารถถอดรหัสฐานข้อมูลใน Credential Manager ออกมาได้ด้วย ทำให้เปิดฐานข้อมูลใน Bitwarden ได้ทั้งหมด

ทาง RedTeam แจ้งแนวทางโจมตีนี้ไปยังไมโครซอฟท์และ Bitwarden ทางไมโครซอฟท์ระบุว่าซอฟต์แวร์ทำงานตามี่ออกแบบไว้ แต่ทาง Bitwarden ยอมรับว่าแม้คนร้ายจะเข้าถึงเครื่องได้ระดับนี้ก็ไม่ควรถอดรหัสฐานข้อมูลออกมาได้ และออกอัพเดต 2023.4.0 แก้ไขโดยใช้ KeyCredentialManager API ของวินโดวส์ที่ไม่สามารถถอดรหัสได้ หากไม่ได้ยืนยันตัวตนกับ Windows Hello จริงๆ และทาง RedTeam ก็เห็นว่าเป็นการแก้ไขที่ถูกต้องแม้ยังไม่ได้ตรวจสอบซ้ำอย่างจริงจังว่ามีช่องโหว่อื่นหรือไม่

ช่องโหว่นี้น่าจะโจมตีได้ยากเพราะคนร้ายต้องเข้าถึงเครื่องของเหยื่อได้ก่อน แต่รายงาน CVE-2023-27706 ก็ให้คะแนน CVSSv3.1 ไว้ที่ 7.1 เป็นช่องโหว่ระดับร้ายแรงสูง

ที่มา - RedTeam Pentesting

No Description


Topics:
Bitwarden
Password Manager
Security

อ่านต่อ...
 

ไฟล์แนบ

  • 3102848d79c2e3040b5931843d2c3c6b.png
    3102848d79c2e3040b5931843d2c3c6b.png
    206.5 กิโลไบต์ · จำนวนการดู: 15

กรุณาปิด โปรแกรมบล๊อกโฆษณา เพราะเราอยู่ได้ด้วยโฆษณาที่ท่านเห็น
Please close the adblock program. Because we can live with the ads you see
กลับ
ยอดนิยม