Un chercheur découvre une faille sur un gestionnaire de MdP préinstallé sur Windows 10
Qui permet à un attaquant de voler n'importe quel MdP

Le , par Stéphane le calme, Chroniqueur Actualités
Tavis Ormandy, chercheur en sécurité membre du Project Zero de Google, qui a déjà découvert, signalé et divulgué plusieurs bogues majeurs dans Windows et ses fonctionnalités, est tombé sur une nouvelle faille de sécurité affectant indirectement les utilisateurs de Microsoft.

Cette fois-ci, la faille concerne le gestionnaire de mots de passe de Keeper préinstallé dans certaines versions de Windows 10, Ormandy a expliqué qu'elle est similaire à une vulnérabilité qu'il a découverte en août 2016.

« J'ai récemment créé une nouvelle machine virtuelle Windows 10 avec une image de MSDN, et j'ai trouvé qu'un gestionnaire de mots de passe appelé "Keeper" est maintenant installé par défaut. Je ne suis pas la seule personne à l’avoir remarqué.

« Je suppose que cela découle d’une offre groupée avec Microsoft. J'ai entendu parler de Keeper, je me souviens avoir parlé d’une faille il y a quelque temps sur la manière dont ils injectaient des interfaces utilisateur privilégiées dans des pages. J'ai vérifié et ils font encore la même chose avec cette version. Je pense que je suis généreux en considérant que ceci est un nouveau problème qui est qualifié pour une divulgation de quatre-vingt-dix jours, car j'ai littéralement changé les sélecteurs et la même attaque fonctionne », a-t-il expliqué.

Bien que ce ne soit pas un défaut de sécurité dans Windows ou un autre produit Microsoft, il expose les détails des utilisateurs de Windows, car les attaquants pourraient voler leurs mots de passe s'ils s'en remettent à Keeper.

Le chercheur a proposé une démo montrant son attaque à l’œuvre pour subtiliser des mots de passe Twitter, expliquant que « cela entraîne la compromission complète de la sécurité de Keeper, permettant à n'importe quel site Web de voler n'importe quel mot de passe. »

L’équipe de sécurité de Keeper a déclaré que la faille ne peut être exploitée qu'en orientant les utilisateurs vers des sites Web spécialement conçus qui profitent d’elle. Rester à l'écart des liens qui pourraient constituer une menace pour votre ordinateur est un moyen facile de rester en sécurité.

« Cette vulnérabilité potentielle nécessite qu'un utilisateur de Keeper soit sur un site Web malveillant alors qu'il est connecté à l'extension du navigateur, puis simule de fausses entrées utilisateur en se servant d’une technique de “clickjacking” pour exécuter du code privilégié dans l'extension du navigateur », a expliqué Craig Lurey, fondateur et CTO de Keeper Security.

Le problème affecte l'extension du navigateur Keeper version 11.3. L'équipe Keeper a publié une mise à jour moins de 24 heures après avoir reçu le rapport d'Ormandy.

La nouvelle version de l'extension du navigateur Keeper 11.4 est maintenant diffusée aux utilisateurs, a déclaré Lurey, ajoutant que l'équipe a désactivé la fonction « Ajouter à existant » qui est problématique, jusqu'à ce que l’équipe parvienne à corriger définitivement la faille.

Même si la faille n'existe pas dans le système d'exploitation Windows lui-même, elle soulève une fois de plus des questions concernant la stratégie de Microsoft consistant à pousser des logiciels gérant des données des utilisateurs. Si nous ne savons pas encore quels ordinateurs ont vu Keeper être préinstallé dans le cadre de l'offre groupée, il faut noter que les utilisateurs ont la possibilité de le désactiver s'ils n'en ont pas besoin.

Page de test de la vulnérabilité

Source : blog Chromium

Et vous ?

Que pensez-vous du fait que l'attaque PoC utilisée pour exploiter la faille soit la même que celle qu'il a utilisée en août 2016 ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Aspartame Aspartame - Membre habitué https://www.developpez.com
le 19/12/2017 à 22:54
c'est pas au niveau d'apple avec les mots de passe en clair à la place de l'indice , mais il y a du potentiel ...
Contacter le responsable de la rubrique Accueil