据行业媒体报道,Passwordstate密码管理器的创建者Click Studios公司日前表示,该公司的2.9万家采用Passwordstate密码管理器的企业用户受到了一个恶意补丁的影响,该补丁可以从应用程序中提取数据,并将其发送到网络攻击者控制的服务器。
Click Studios公司在一封电子邮件中告知其所有客户,网络攻击者破坏了Passwordstate的升级机制,并利用它在用户的计算机上安装了一个恶意文件。其文件名为“moserware.secretsplitter.dll”。安全服务商CSIS Group日前发布的一份简短书面报告指出,这个文件包含一个名为SecretSplitter的应用程序的合法副本,以及名为“Loader”的恶意代码。
加载程序代码尝试在https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip 上检索文件存档,以便可以检索加密的第二阶段有效负载。在解密之后,其代码将直接在内存中执行。Click Studios公司在一封电子邮件中指出,该代码可以提取有关计算机系统的信息,并选择Passwordstate数据,然后将其发布到网络攻击者的CDN网络中。
Passwordstate更新漏洞的发生时间范围是从全球标准时间(UTC)的4月20日上午8:33到4月22日上午12:30。网络攻击者已于4月22日上午7:00关闭其服务器。
密码管理器的阴暗面
很多安全从业人员推荐用户采用密码管理器,因为它们使用户可以轻松地存储数百个甚至数千个帐户所特有的冗长而复杂的密码。在不使用密码管理器的情况下,许多用户都将使用弱密码,这些密码会被多个帐户重复使用。
Passwordstate漏洞凸显了密码管理器带来的风险,因为它们代表一个单点故障,可能导致大量在线资产受损。如果启用了双重身份验证,则其风险将会显著降低,因为仅提取的密码不足以获得未经授权的访问。Click Studios表示,Passwordstate提供了多个双重身份验证选项。
由于Passwordstate主要出售给使用管理器存储防火墙、虚拟网络和其他企业应用程序密码的企业客户,因此这一违规行为尤其令人担忧。Click Studios公司指出,Passwordstate受到全球29,000多家企业以及370,000名安全和IT专业人员的信任,其用户范围从规模最大的企业(包括许多财富500强公司)到最小的IT商店。
又一次的供应链攻击
Passwordstate的数据泄露是最近几个月曝光的一次备受瞩目的供应链攻击事件。去年12月, SolarWinds网络管理软件的一个恶意更新在18,000个企业用户的网络上安装了后门程序。在本月初,一个名为Codecov Bash Uploader的更新开发工具从受感染的机器中提取了秘密身份验证令牌和其他敏感数据,并将它们发送到黑客控制的远程站点。
Click Studios公司最后在邮件中呼吁,使用Passwordstate的任何人都应立即重置所有存储的密码,尤其是防火墙、虚拟网络、交换机、本地帐户和服务器的密码。