- Kerentanan telah ditemukan di beberapa pengelola kata sandi
- Para peneliti menciptakan serangan teoretis yang dapat mencuri kredensial
- Upaya remediasi sedang dilakukan, dan beberapa kerentanan telah diperbaiki
27 kerentanan di empat kerentanan populer pengelola kata sandi telah ditemukan oleh para peneliti yang memungkinkan penyerang mengakses brankas kata sandi korban untuk mengubah dan mencuri kredensial
Penelitian dari para ahli di ETH Zurich dan Università della Svizzera italiana (USI) di Swiss menyertakan kerentanan di Bitwarden, yang ditemukan rentan terhadap 12 serangan, LastPass ke tujuh, Dashlane ke enam, dan 1Password ditemukan rentan terhadap hanya dua serangan.
Secara total, pengelola kata sandi populer ini mencakup lebih dari 60 juta pengguna dan hampir 125.000 bisnis, dengan serangan yang ditemukan oleh para peneliti berfokus pada kerentanan di empat kategori – key escrow, enkripsi vault, berbagi, dan kompatibilitas mundur.
Kelemahan utama escrow
Kelemahan utama escrow berfokus pada kerentanan dalam fitur pemulihan akun. Para peneliti menguraikan bahwa salinan kunci enkripsi pengguna sering kali disimpan untuk membantu pemulihan akun jika pengguna tidak dapat mengakses akun mereka menggunakan kata sandi utama.
Namun, dalam beberapa kasus, kunci dapat diakses tanpa autentikasi sehingga memungkinkan peretas memanipulasi proses pemulihan untuk mengakses kunci dan, pada gilirannya, brankas pengguna. Untuk serangan dalam kategori ini, Bitwarden ditemukan rentan terhadap tiga serangan dan LastPass terhadap satu serangan.
Kelemahan enkripsi Vault
Kategori kedua, kelemahan enkripsi brankas, berfokus pada bagaimana kredensial yang disimpan dan URL terkaitnya dalam brankas pengguna dienkripsi. Dalam beberapa kasus, para peneliti menemukan bahwa brankas tidak dienkripsi sebagai satu blok, melainkan setiap item dienkripsi secara terpisah.
Selain itu, informasi lain tentang isi brankas tidak dienkripsi. LastPass ditemukan rentan terhadap lima serangan jenis ini, Bitwarden terhadap empat serangan, dan Dashlane terhadap satu serangan.
Dalam serangan yang mengeksploitasi kerentanan ini, penyerang secara teoritis dapat membocorkan informasi dari setiap ‘bidang’ kredensial dalam brankas untuk mengidentifikasi isinya. Penyerang juga dapat menukar item dalam suatu bidang untuk membocorkan informasi, atau menyajikan URL yang terkait dengan kredensial sedemikian rupa sehingga kata sandi dan nama pengguna dapat bocor.
Berbagi kekurangan
Banyak pengelola kata sandi memungkinkan pengguna untuk berbagi kredensial yang tersimpan dan informasi lainnya demi kenyamanan, seperti kemampuan untuk dengan cepat membagikan kata sandi Wi-Fi kepada tamu.
Para peneliti menemukan sangat sedikit otentikasi pengguna yang terjadi ketika item dibagikan, sehingga memungkinkan beberapa vektor serangan yang dapat mengungkapkan item yang dibagikan atau memungkinkan serangan lebih lanjut. Untuk serangan dalam kategori ini, Bitwarden ditemukan rentan terhadap dua serangan, sedangkan LastPass dan Dashlane hanya rentan terhadap satu serangan.
Dalam satu contoh, penyerang dapat membuat ‘organisasi’ dan menambahkan pengguna acak menggunakan kunci publik mereka. Pengelola kata sandi kemudian akan menyinkronkan pengguna dengan organisasi palsu, membuat pengguna tampak seperti anggota organisasi tersebut. Dalam beberapa kasus, penyerang dapat menambahkan item yang memberatkan ke brankas pengguna, atau penyerang dapat memperoleh akses ke semua item yang disimpan dalam folder bersama.
Kelemahan kompatibilitas mundur
Untuk menjaga kompatibilitas antar versi, banyak pengelola kata sandi menawarkan dukungan lama yang memungkinkan kompatibilitas dengan metode enkripsi lama.
Hal ini nyaman bagi organisasi dan pengguna yang perlu mengakses kredensial yang dienkripsi menggunakan metode lama, namun memberikan beberapa peluang bagi penyerang untuk menurunkan versi enkripsi yang digunakan oleh klien ke algoritma kriptografi yang lebih lama, dan karena itu lebih lemah. Untuk serangan dalam kategori ini, Dashlane rentan terhadap empat serangan, dan Bitwarden rentan terhadap tiga serangan.
Kerentanan diatasi dan patch dirilis
Sebelum penelitian ini dirilis, para peneliti menghubungi semua penyedia pengelola kata sandi yang terpengaruh sebagai bagian dari proses pengungkapan selama 90 hari. Para peneliti mencatat bahwa tidak ada bukti bahwa kerentanan tersebut telah dieksploitasi secara liar, dan semua penyedia pengelola kata sandi yang terkena dampak telah memulai upaya remediasi, dengan beberapa kerentanan telah diperbaiki.
Meskipun 1Password hanya rentan terhadap dua serangan, perusahaan menanggapi para peneliti dengan menyatakan bahwa kerentanan adalah bagian dari batasan arsitektur, dengan kerentanan yang sudah didokumentasikan dalam 1Password. Buku Putih Desain Keamanan.
Berbicara kepada Berita PeretasJacob DePriest, Chief Information Security Officer dan Chief Information Officer di 1Password, berkata, “Kami berkomitmen untuk terus memperkuat arsitektur keamanan kami dan mengevaluasinya terhadap model ancaman tingkat lanjut, termasuk skenario server berbahaya seperti yang dijelaskan dalam penelitian, dan mengembangkannya seiring waktu untuk menjaga perlindungan yang diandalkan pengguna kami.”
“Misalnya, 1Password menggunakan Secure Remote Password (SRP) untuk mengautentikasi pengguna tanpa mengirimkan kunci enkripsi ke server kami, membantu mengurangi seluruh kelas serangan sisi server,” kata DePriest. “Baru-baru ini, kami memperkenalkan kemampuan baru untuk kredensial yang dikelola perusahaan, yang sejak awal dibuat dan diamankan untuk menahan ancaman yang canggih.”
Bitwarden menyatakan dalam a postingan blog bahwa, “Semua masalah yang diidentifikasi dalam laporan telah ditangani oleh tim Bitwarden,” dan berterima kasih kepada para peneliti karena telah mengungkap kerentanan tersebut.
Keduanya jalur dasbor Dan Lulus Terakhir juga berterima kasih kepada para peneliti, dan merinci temuan mereka mengenai kerentanan dan mitigasinya.
Pengelola kata sandi terbaik untuk semua anggaran
