[[396611]]

據(jù)行業(yè)媒體報道，Passwordstate密碼管理器的創(chuàng)建者Click Studios公司日前表示，該公司的2.9萬家采用Passwordstate密碼管理器的企業(yè)用戶受到了一個惡意補丁的影響，該補丁可以從應(yīng)用程序中提取數(shù)據(jù)，并將其發(fā)送到網(wǎng)絡(luò)攻擊者控制的服務(wù)器。

Click Studios公司在一封電子郵件中告知其所有客戶，網(wǎng)絡(luò)攻擊者破壞了Passwordstate的升級機制，并利用它在用戶的計算機上安裝了一個惡意文件。其文件名為“moserware.secretsplitter.dll”。安全服務(wù)商CSIS Group日前發(fā)布的一份簡短書面報告指出，這個文件包含一個名為SecretSplitter的應(yīng)用程序的合法副本，以及名為“Loader”的惡意代碼。

加載程序代碼嘗試在https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip 上檢索文件存檔，以便可以檢索加密的第二階段有效負載。在解密之后，其代碼將直接在內(nèi)存中執(zhí)行。Click Studios公司在一封電子郵件中指出，該代碼可以提取有關(guān)計算機系統(tǒng)的信息，并選擇Passwordstate數(shù)據(jù)，然后將其發(fā)布到網(wǎng)絡(luò)攻擊者的CDN網(wǎng)絡(luò)中。

Passwordstate更新漏洞的發(fā)生時間范圍是從全球標(biāo)準(zhǔn)時間(UTC)的4月20日上午8:33到4月22日上午12:30。網(wǎng)絡(luò)攻擊者已于4月22日上午7:00關(guān)閉其服務(wù)器。

密碼管理器的陰暗面

很多安全從業(yè)人員推薦用戶采用密碼管理器，因為它們使用戶可以輕松地存儲數(shù)百個甚至數(shù)千個帳戶所特有的冗長而復(fù)雜的密碼。在不使用密碼管理器的情況下，許多用戶都將使用弱密碼，這些密碼會被多個帳戶重復(fù)使用。

Passwordstate漏洞凸顯了密碼管理器帶來的風(fēng)險，因為它們代表一個單點故障，可能導(dǎo)致大量在線資產(chǎn)受損。如果啟用了雙重身份驗證，則其風(fēng)險將會顯著降低，因為僅提取的密碼不足以獲得未經(jīng)授權(quán)的訪問。Click Studios表示，Passwordstate提供了多個雙重身份驗證選項。

由于Passwordstate主要出售給使用管理器存儲防火墻、虛擬網(wǎng)絡(luò)和其他企業(yè)應(yīng)用程序密碼的企業(yè)客戶，因此這一違規(guī)行為尤其令人擔(dān)憂。Click Studios公司指出，Passwordstate受到全球29,000多家企業(yè)以及370,000名安全和IT專業(yè)人員的信任，其用戶范圍從規(guī)模最大的企業(yè)(包括許多財富500強公司)到最小的IT商店。

又一次的供應(yīng)鏈攻擊

Passwordstate的數(shù)據(jù)泄露是最近幾個月曝光的一次備受矚目的供應(yīng)鏈攻擊事件。去年12月， SolarWinds網(wǎng)絡(luò)管理軟件的一個惡意更新在18,000個企業(yè)用戶的網(wǎng)絡(luò)上安裝了后門程序。在本月初，一個名為Codecov Bash Uploader的更新開發(fā)工具從受感染的機器中提取了秘密身份驗證令牌和其他敏感數(shù)據(jù)，并將它們發(fā)送到黑客控制的遠程站點。

Click Studios公司最后在郵件中呼吁，使用Passwordstate的任何人都應(yīng)立即重置所有存儲的密碼，尤其是防火墻、虛擬網(wǎng)絡(luò)、交換機、本地帳戶和服務(wù)器的密碼。