日前,Google 白帽黑客 Tavis Ormandy 表示,某些 Windows 10 系统中预装了第三方密码管理器应用程序,可能被黑客利用,远程窃取用户凭据。
据报道,从 Windows 10 周年更新(1607版本)开始,Microsoft 就在其操作系统中增加了一项名为 Content Delivery Manager 的新功能,该功能会暗中安装新的“建议应用程序”,而不会通知用户。
几个月前,就有 Reddit 用户表示发现了 Windows 10 中隐藏安装的密码管理器。后来,Google Project Zero 白帽黑客 Tavis Ormandy 证实,他在自己的 Windows 10 系统上发现了这款预装的 Keeper Password Manager 密码管理应用程序。
我最近用 MSDN 的原始图像创建了一个全新的 Windows 10 虚拟机,发现系统默认安装名为“Keeper”的密码管理器。除了我,还有其他用户也发现了这一点。 我认为这是第三方与微软的捆绑交易。
我之前就知道 Keeper,因为我前一阵子提交了一个利用 Keeper 将特权 UI 注入页面的问题(issue 917)。这次,他们又做了类似的事情。我认为这是个严重的问题,需要深挖一下。因为我只是更改了一下选项,攻击就能成功。
经过几次测试之后,Ormandy 在 Keeper Password Manager 中发现了一个严重的漏洞,攻击者可以利用这个漏洞“彻底入侵 Keeper,进而窃取密码”。确切来说,密码管理员使用一个小小的远程根目录就能分享用户每个网站的密码。这个漏洞与Ormandy在2016年8月在Keeper插件的非捆绑版本中发现的另一个漏洞非常相似,那个漏洞也会被恶意网站利用并窃取密码。
Ormandy 向 Keeper 开发团队报告了这个漏洞,Keeper 团队在 11.4 新版本中删除了“add to existing”(添加到当前)功能,进行了修复。Keeper 团队还宣称该漏洞目前没有在野利用实例。
Keeper Security的创始人兼首席技术官表示
这个潜在的漏洞利用过程大概为:Keeper 用户在登录浏览器扩展时将其诱骗到恶意网站,然后通过 “clickjacking”(点击劫持)技术在浏览器扩展中执行特权代码来欺骗用户输入用户名与密码。
Ormandy 还发布了PoC ,如果用户的 Twitter 密码存储在 Keeper 应用程序中,就可以被盗取。
至于为何 Keeper 密码管理器会在用户不知情的情况下预装在 Windows 10 中,目前尚不清楚。不过,如果用户没有打开 Keeper 密码管理器并存储、管理密码,那么就不会受到这个漏洞的影响。用户如果想要禁用 Content Delivery Manager,可以使用如下注册表设置,以防止 Microsoft 在个人计算机中暗中安装不需要的应用程序。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\DefaultUser\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager]
;0 = No Disable
;1 = Yes Enable (Default)
"PreInstalledAppsEnabled"=dword:00000000
*参考来源:Securityaffairs,AngelaY 编译