日前, Google 白帽駭客 Tavis Ormandy 表示, 某些 Windows 10 系統中預裝了協力廠商密碼管理器應用程式, 可能被駭客利用, 遠端竊取用戶憑據。
據報導, 從 Windows 10 周年更新(1607版本)開始,
幾個月前, 就有 Reddit 用戶表示發現了 Windows 10 中隱藏安裝的密碼管理器。 後來, Google Project Zero 白帽駭客 Tavis Ormandy 證實, 他在自己的 Windows 10 系統上發現了這款預裝的 Keeper Password Manager 密碼管理應用程式。
我最近用 MSDN 的原始圖像創建了一個全新的 Windows 10 虛擬機器, 發現系統預設安裝名為“Keeper”的密碼管理器。 除了我, 還有其他用戶也發現了這一點。 我認為這是協力廠商與微軟的捆綁交易。
我之前就知道 Keeper, 因為我前一陣子提交了一個利用 Keeper 將特權 UI 注入頁面的問題(issue 917)。 這次, 他們又做了類似的事情。 我認為這是個嚴重的問題, 需要深挖一下。 因為我只是更改了一下選項, 攻擊就能成功。
經過幾次測試之後, Ormandy 在 Keeper Password Manager 中發現了一個嚴重的漏洞, 攻擊者可以利用這個漏洞“徹底入侵 Keeper, 進而竊取密碼”。 確切來說, 密碼管理員使用一個小小的遠端根目錄就能分享使用者每個網站的密碼。 這個漏洞與Ormandy在2016年8月在Keeper外掛程式的非捆綁版本中發現的另一個漏洞非常相似, 那個漏洞也會被惡意網站利用並竊取密碼。
Ormandy 向 Keeper 開發團隊報告了這個漏洞, Keeper 團隊在 11.4 新版本中刪除了“add to existing”(添加到當前)功能, 進行了修復。 Keeper 團隊還宣稱該漏洞目前沒有在野利用實例。
Keeper Security的創始人兼首席技術官表示
這個潛在的漏洞利用過程大概為:Keeper 用戶在登錄流覽器擴展時將其誘騙到惡意網站, 然後通過 “clickjacking”(點擊劫持)技術在流覽器擴展中執行特權代碼來欺騙使用者輸入用戶名與密碼。
Ormandy 還發佈了PoC , 如果使用者的 Twitter 密碼存儲在 Keeper 應用程式中, 就可以被盜取。
至於為何 Keeper 密碼管理器會在使用者不知情的情況下預裝在 Windows 10 中, 目前尚不清楚。 不過, 如果使用者沒有打開 Keeper 密碼管理器並存儲、管理密碼, 那麼就不會受到這個漏洞的影響。 用戶如果想要禁用 Content Delivery Manager, 可以使用如下註冊表設置, 以防止 Microsoft 在個人電腦中暗中安裝不需要的應用程式。
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINEDefaultUserSoftwareMicrosoftWindowsCurrentVersionContentDeliveryManager];0 = No Disable;1 = Yes Enable (Default)"PreInstalledAppsEnabled"=dword:00000000