安全警示
密码管理器Passwordstate被植入后门
密码管理器Passwordstate,有多达29000名用户下载到恶意更新。该更新从应用程序中提取数据并将其发送到攻击者控制的服务器。
在一封电子邮件中,Passwordstate的创建者Click Studios告诉客户,犯罪分子破坏了软件的更新机制,并利用漏洞在用户的电脑上安装恶意文件。根据安全公司CSIS Group的一份简短,恶意文件名为 "moserware.secretsplitter.dll",包含一个名为SecretSplitter的应用程序的合法副本,以及名为 "Loader" 的恶意代码。
Loader代码试图检索位于https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip的文件档案,这样它就可以检索到加密过程第二阶段的有效载荷。一旦解密,该代码可直接在内存中执行。来自Click Studios的电子邮件说,该代码会 "提取有关计算机系统的信息,并选择Passwordstate数据,然后发布到不良行为者的CDN网络"。
Passwordstate更新泄露事件从4月20日上午8:33 UTC持续到4月22日上午12:30。攻击者的服务器于4月22日上午7:00(UTC)关闭。
安全从业人员经常推荐密码管理器,因为它们使人们很容易存储长而复杂的密码,这些密码对数百甚至数千个账户都是独一无二的。如果不使用密码管理器,许多人就会采用在多个账户中重复使用弱密码。
Passwordstate漏洞却揭示了密码管理器所带来的风险,因为它们代表了装有全部鸡蛋的那个篮子。如果启用双因素认证,风险就会大大降低,因为仅靠提取的密码不足以获得未经授权的访问。Click Studios表示,Passwordstate提供多种2FA选项。
这次漏洞特别令人担忧,因为Passwordstate的受众主要为企业客户,他们使用管理器来存储防火墙、VPN和其他企业应用程序的密码。Click Studios称,Passwordstate "受到全球29000多名客户和370000名安全和IT专业人士的信任,其安装基础从最大的企业,包括许多财富500强公司,到最小的IT商店"。
Passwordstate漏洞是最近几个月曝光的最新一次供应链攻击。12月,SolarWinds网络管理软件的一个恶意更新在18000名客户的网络中安装了后门。本月早些时候,名为Codecov Bash Uploader的开发者工具从受感染的机器中提取秘密认证令牌和其他敏感数据,并将它们发送到黑客控制的一个远程站点。
在这篇文章(原文)发布时,68个跟踪的端点保护程序中没有一个检测到该恶意软件。到目前为止,研究人员还无法获得后续有效载荷的样本。
任何使用Passwordstate的人都应该立即重置所有存储的密码,特别是防火墙、VPN、交换机、本地账户和服务器的密码。
参考 https://arstechnica.com/gadgets/2021/04/hackers-backdoor-corporate-password-manager-and-steal-customer-data/