Windows PureVPN客戶端中的憑據泄漏漏洞

使用VPN（虛擬專用網路）可以帶來許多好處，特別是當想要訪問遠程資源，或者使用的是不完全信任的網路時，例如，咖啡店或機場。

近年來，針對不熟悉技術但仍希望使用VPN來提高其連接安全性、關注隱私或想繞過某些地理限制的用戶的VPN供應商數量有所增加。

供應商提供主要功能的特點之一就是讓用戶可以非常容易的設置VPN。只需點擊幾下，簡單的配置就可以了。由於他們希望為用戶提供便利，因此大多數客戶端都存儲密碼，以便可以通過點擊進行連接（甚至可以在每次筆記本電腦啟動時自動執行）。

我對「存儲密碼」功能有一些好奇，所以開始挖掘，最終發現了兩個漏洞。作為責任披露計劃的一部分，我們向PureVPN披露了這些漏洞。他們接受了第一個漏洞存在的風險並為第二個漏洞提供了補丁。詳細信息可在諮詢TWSL2018-010中找到。

我在以下假設和條件下測試了這些漏洞：

·PureVPN客戶端默認安裝。

·攻擊者可以訪問任何本地用戶帳戶。

·有人在任何時間點使用Windows機器上的客戶端成功登錄PureVPN。

·在多用戶環境中披露其他用戶憑據時，Windows計算機有多個用戶。

這些漏洞可在PureVPN Windows客戶端的5.18.2.0版中找到，並向供應商披露。供應商已發布補丁。我們測試了6.1.0版本，它不再受到攻擊。

我將解釋我發現的每個漏洞：

漏洞＃1 - 客戶端配置窗口顯示密碼

未修復，供應商接受了風險。

描述

PureVPN提供的PureVPN Windows客戶端允許本地攻擊者獲取成功登錄PureVPN服務的最後一個用戶的存儲密碼。因此，當Windows計算機成功登錄時，本地攻擊者可以獲得另一個用戶的PureVPN憑據。攻擊只通過GUI（圖形用戶界面）完成，不需要使用外部工具。

PoC

獲取密碼的步驟：

1.打開PureVPN Windows客戶端

2.轉到配置

3.打開「用戶配置文件」選項卡

4.點擊「顯示密碼」

例子：

圖1.配置選項卡，其中包含有關登錄的信息

圖2.帶有憑據的配置選項卡

漏洞＃2 - PureVPN Windows客戶端憑據以純文本形式存儲

已修復

描述

PureVPN Windows客戶端以明文形式存儲登錄憑據（用戶名和密碼）。文件的位置是：C:ProgramDatapurevpnconfiglogin.conf。

此外，所有本地用戶都可以讀取此文件。

PoC

獲取密碼的步驟：

1. 在C:ProgramDatapurevpnconfiglogin.conf文件中讀取。

例子：

圖3.具有明文憑據的文件的位置和內容

圖4.具有明文憑據的文件的許可權

最後，建議大家：

·如果使用PureVPN for Windows，請確認運行的是最新版本。

·切勿在服務之間重複使用密碼。

·儘可能啟用雙因素身份驗證。

為了幫助測試是否存在此漏洞，我還創建了一個Metasploit模塊，可以在此處訪問：https://github.com/rapid7/metasploit-framework/pull/10716

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！