Un chercheur découvre une faille sur un gestionnaire de mot de passe préinstallé sur Windows 10
Un chercheur découvre une faille sur un gestionnaire de mot de passe préinstallé sur Windows 10,
qui permet à un attaquant de voler n'importe quel MdP
Tavis Ormandy, chercheur en sécurité membre du Project Zero de Google, qui a déjà découvert, signalé et divulgué plusieurs bogues majeurs dans Windows et ses fonctionnalités, est tombé sur une nouvelle faille de sécurité affectant indirectement les utilisateurs de Microsoft.
Cette fois-ci, la faille concerne le gestionnaire de mots de passe de Keeper préinstallé dans certaines versions de Windows 10, Ormandy a expliqué qu'elle est similaire à une vulnérabilité qu'il a découverte en août 2016.
« J'ai récemment créé une nouvelle machine virtuelle Windows 10 avec une image de MSDN, et j'ai trouvé qu'un gestionnaire de mots de passe appelé "Keeper" est maintenant installé par défaut. Je ne suis pas la seule personne à l’avoir remarqué.
« Je suppose que cela découle d’une offre groupée avec Microsoft. J'ai entendu parler de Keeper, je me souviens avoir parlé d’une faille il y a quelque temps sur la manière dont ils injectaient des interfaces utilisateur privilégiées dans des pages. J'ai vérifié et ils font encore la même chose avec cette version. Je pense que je suis généreux en considérant que ceci est un nouveau problème qui est qualifié pour une divulgation de quatre-vingt-dix jours, car j'ai littéralement changé les sélecteurs et la même attaque fonctionne », a-t-il expliqué.
Bien que ce ne soit pas un défaut de sécurité dans Windows ou un autre produit Microsoft, il expose les détails des utilisateurs de Windows, car les attaquants pourraient voler leurs mots de passe s'ils s'en remettent à Keeper.
Le chercheur a proposé une démo montrant son attaque à l’œuvre pour subtiliser des mots de passe Twitter, expliquant que « cela entraîne la compromission complète de la sécurité de Keeper, permettant à n'importe quel site Web de voler n'importe quel mot de passe. »
L’équipe de sécurité de Keeper a déclaré que la faille ne peut être exploitée qu'en orientant les utilisateurs vers des sites Web spécialement conçus qui profitent d’elle. Rester à l'écart des liens qui pourraient constituer une menace pour votre ordinateur est un moyen facile de rester en sécurité.
« Cette vulnérabilité potentielle nécessite qu'un utilisateur de Keeper soit sur un site Web malveillant alors qu'il est connecté à l'extension du navigateur, puis simule de fausses entrées utilisateur en se servant d’une technique de “clickjacking” pour exécuter du code privilégié dans l'extension du navigateur », a expliqué Craig Lurey, fondateur et CTO de Keeper Security.
Le problème affecte l'extension du navigateur Keeper version 11.3. L'équipe Keeper a publié une mise à jour moins de 24 heures après avoir reçu le rapport d'Ormandy.
La nouvelle version de l'extension du navigateur Keeper 11.4 est maintenant diffusée aux utilisateurs, a déclaré Lurey, ajoutant que l'équipe a désactivé la fonction « Ajouter à existant » qui est problématique, jusqu'à ce que l’équipe parvienne à corriger définitivement la faille.
Même si la faille n'existe pas dans le système d'exploitation Windows lui-même, elle soulève une fois de plus des questions concernant la stratégie de Microsoft consistant à pousser des logiciels gérant des données des utilisateurs. Si nous ne savons pas encore quels ordinateurs ont vu Keeper être préinstallé dans le cadre de l'offre groupée, il faut noter que les utilisateurs ont la possibilité de le désactiver s'ils n'en ont pas besoin.
Page de test de la vulnérabilité
Source : blog Chromium
Et vous ?
Répondre avec citation
Partager