[Информационная безопасность, Софт, IT-компании] Эксперты рассказали, как в 2019 году нашли уязвимость генерации паролей в Kaspersky Password Manager
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
6 июля 2021 года ИБ-эксперты из Ledger Donjon рассказали, как обнаружили в 2019 году уязвимость генерации паролей в Kaspersky Password Manager. Оказалось, что при использовании настроек низкой сложности для генерации паролей алгоритм менеджер паролей создавал не случайные пароли, а привязанные ко времени, точнее даже секунде, в момент их создания. Уязвимость получила идентификатор CVE-2020-27020 и была исправлена разработчиками после получения информации от Ledger Donjon. Для версии генератора на ОС Windows финальные обновления против этой уязвимости вышли в 2020 году.
Специалисты Ledger Donjon пояснили в своем расширенном техническом отчете, что хотя пароли на первый взгляд и выглядели случайными, алгоритм приложения создавал их одинаковыми в определенную секунду времени. Если два разных пользователя в эту секунду создавали учетную запись на каком-то ресурсе и генерировали пароль в одинаковое время, то он был один и тот же у обоих.
Это происходило из-за того, что секундная временная метка использовалась программой как seed – ключ генерации для пароля на котором работал алгоритм Kaspersky Password Manager. Например, с 2011 года по 2020 год прошло 315 619 200 секунд — столько разных паролей и создала утилита за это время при одинаковых настройках выбора символов. Злоумышленники могли их сами сгенерировать и сохранить в словарь, чтобы далее использовать для брутфорса при атаке. В алгоритме программы также не было проверки, что аналогичный пароль уже был когда-то создан.
Если пользователь во время генерации пароля менял его длину или набор используемых символов, то в этом случае пароль получался другим. Фактически утилита работала как генератор псевдослучайных чисел. Она использовала текущее системное времемя в секундах в качестве начального числа в генераторе псевдослучайных чисел Mersenne Twister.
По мнению исследователей, уязвимость оставалось несколько лет незамеченной обычными пользователями из-за показа на экране генерации пароля анимации, имитировавшей перебор символов при создании секрета. Между нажатием на кнопку и остановкой генератора там проходит больше одной секунды. В случае, если пользователь сразу кликает еще раз, то ему показывается другой пароль.
Вдобавок эксперты в отчете пояснили, что алгоритм генератора псевдослучайных чисел Kaspersky Password Manager не создавал символы в пароле с одинаковой вероятностью. В программе чаще всего выпадали последовательности букв, которые не встречаются в обычных словах. С одной стороны это затрудняло атаку по словарям, но с другой стороны такое распределение давало шанс злоумышленнику удачно использовать брутфорс с выборкой, в которой используется только случайная последовательность цифр, букв и символов.
Представитель «Лаборатории Касперского» подтвердил изданию «Код Дурова», что проблема в работе Kaspersky Password Manager действительно была, но она затронула лишь часть небольшую пользователей. После анализа инцидента разработчик выпустил исправление для своего продукта и внедрил в него механизм, благодаря которому пользователи получают предупреждение, если сгенерированный пароль недостаточно надежен и его следует поменять.
Версии генератора паролей, в который алгоритм не исправлен:
- Kaspersky Password Manager for Windows 9.0.2 Patch F и младше;
- Kaspersky Password Manager for Android 9.2.14.872 и младше;
- Kaspersky Password Manager for iOS 9.2.14.31 и младше.
===========
Источник:
habr.com
===========
Похожие новости:
- [Управление проектами, IT-компании] Что происходит в фарме и медицине
- [Информационная безопасность] Атака через поставщика или подрядчика глазами пентестера
- [Разработка под AR и VR, Энергия и элементы питания, AR и VR, IT-компании] Монтажники-высотники будут тренироваться на тренажёрах VR
- [Мессенджеры, Софт] Почему Telegram не самый лучший мессенджер
- [Законодательство в IT, Социальные сети и сообщества, IT-компании] Трамп решил засудить Цукерберга, Пичаи и Дорси
- [Разработка мобильных приложений, IT-компании, Голосовые интерфейсы] Голосовые ассистенты «Сбербанка» научились работать с Госуслугами
- [IT-компании] Apple ужесточила правила отслеживания для рекламы — в результате подорожала реклама, нацеленная на пользователей Androi
- [IT-компании] Вспоминая Сэнди: как операторы дата-центров справились с бурей (перевод)
- [Информационная безопасность, Работа с видео, Машинное обучение, Искусственный интеллект] Бельгийский политический активист научил систему машинного зрения помечать на видео политиков, не слушающих заседание
- [Законодательство в IT, IT-компании] Facebook, Twitter и Google пригрозили покинуть Гонконг из-за предлагаемых законов о данных
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_soft (Софт), #_itkompanii (IT-компании), #_ujazvimost (уязвимость), #_generatsija_parolej (генерация паролей), #_kaspersky_password_manager, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_soft (
Софт
), #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 22:34
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 6 июля 2021 года ИБ-эксперты из Ledger Donjon рассказали, как обнаружили в 2019 году уязвимость генерации паролей в Kaspersky Password Manager. Оказалось, что при использовании настроек низкой сложности для генерации паролей алгоритм менеджер паролей создавал не случайные пароли, а привязанные ко времени, точнее даже секунде, в момент их создания. Уязвимость получила идентификатор CVE-2020-27020 и была исправлена разработчиками после получения информации от Ledger Donjon. Для версии генератора на ОС Windows финальные обновления против этой уязвимости вышли в 2020 году. Специалисты Ledger Donjon пояснили в своем расширенном техническом отчете, что хотя пароли на первый взгляд и выглядели случайными, алгоритм приложения создавал их одинаковыми в определенную секунду времени. Если два разных пользователя в эту секунду создавали учетную запись на каком-то ресурсе и генерировали пароль в одинаковое время, то он был один и тот же у обоих. Это происходило из-за того, что секундная временная метка использовалась программой как seed – ключ генерации для пароля на котором работал алгоритм Kaspersky Password Manager. Например, с 2011 года по 2020 год прошло 315 619 200 секунд — столько разных паролей и создала утилита за это время при одинаковых настройках выбора символов. Злоумышленники могли их сами сгенерировать и сохранить в словарь, чтобы далее использовать для брутфорса при атаке. В алгоритме программы также не было проверки, что аналогичный пароль уже был когда-то создан. Если пользователь во время генерации пароля менял его длину или набор используемых символов, то в этом случае пароль получался другим. Фактически утилита работала как генератор псевдослучайных чисел. Она использовала текущее системное времемя в секундах в качестве начального числа в генераторе псевдослучайных чисел Mersenne Twister. По мнению исследователей, уязвимость оставалось несколько лет незамеченной обычными пользователями из-за показа на экране генерации пароля анимации, имитировавшей перебор символов при создании секрета. Между нажатием на кнопку и остановкой генератора там проходит больше одной секунды. В случае, если пользователь сразу кликает еще раз, то ему показывается другой пароль.  Вдобавок эксперты в отчете пояснили, что алгоритм генератора псевдослучайных чисел Kaspersky Password Manager не создавал символы в пароле с одинаковой вероятностью. В программе чаще всего выпадали последовательности букв, которые не встречаются в обычных словах. С одной стороны это затрудняло атаку по словарям, но с другой стороны такое распределение давало шанс злоумышленнику удачно использовать брутфорс с выборкой, в которой используется только случайная последовательность цифр, букв и символов. Представитель «Лаборатории Касперского» подтвердил изданию «Код Дурова», что проблема в работе Kaspersky Password Manager действительно была, но она затронула лишь часть небольшую пользователей. После анализа инцидента разработчик выпустил исправление для своего продукта и внедрил в него механизм, благодаря которому пользователи получают предупреждение, если сгенерированный пароль недостаточно надежен и его следует поменять. Версии генератора паролей, в который алгоритм не исправлен:
=========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_soft ( Софт ), #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 22:34
Часовой пояс: UTC + 5