Windows PureVPN客戶端中的憑據泄漏漏洞
使用VPN(虛擬專用網路)可以帶來許多好處,特別是當想要訪問遠程資源,或者使用的是不完全信任的網路時,例如,咖啡店或機場。
近年來,針對不熟悉技術但仍希望使用VPN來提高其連接安全性、關注隱私或想繞過某些地理限制的用戶的VPN供應商數量有所增加。
供應商提供主要功能的特點之一就是讓用戶可以非常容易的設置VPN。只需點擊幾下,簡單的配置就可以了。由於他們希望為用戶提供便利,因此大多數客戶端都存儲密碼,以便可以通過點擊進行連接(甚至可以在每次筆記本電腦啟動時自動執行)。
我對「存儲密碼」功能有一些好奇,所以開始挖掘,最終發現了兩個漏洞。作為責任披露計劃的一部分,我們向PureVPN披露了這些漏洞。他們接受了第一個漏洞存在的風險並為第二個漏洞提供了補丁。詳細信息可在諮詢TWSL2018-010中找到。
我在以下假設和條件下測試了這些漏洞:
·PureVPN客戶端默認安裝。
·攻擊者可以訪問任何本地用戶帳戶。
·有人在任何時間點使用Windows機器上的客戶端成功登錄PureVPN。
·在多用戶環境中披露其他用戶憑據時,Windows計算機有多個用戶。
這些漏洞可在PureVPN Windows客戶端的5.18.2.0版中找到,並向供應商披露。供應商已發布補丁。我們測試了6.1.0版本,它不再受到攻擊。
我將解釋我發現的每個漏洞:
漏洞#1 - 客戶端配置窗口顯示密碼
未修復,供應商接受了風險。
描述
PureVPN提供的PureVPN Windows客戶端允許本地攻擊者獲取成功登錄PureVPN服務的最後一個用戶的存儲密碼。因此,當Windows計算機成功登錄時,本地攻擊者可以獲得另一個用戶的PureVPN憑據。攻擊只通過GUI(圖形用戶界面)完成,不需要使用外部工具。
PoC
獲取密碼的步驟:
1.打開PureVPN Windows客戶端
2.轉到配置
3.打開「用戶配置文件」選項卡
4.點擊「顯示密碼」
例子:
圖1.配置選項卡,其中包含有關登錄的信息
圖2.帶有憑據的配置選項卡
漏洞#2 - PureVPN Windows客戶端憑據以純文本形式存儲
已修復
描述
PureVPN Windows客戶端以明文形式存儲登錄憑據(用戶名和密碼)。文件的位置是:C:ProgramDatapurevpnconfiglogin.conf。
此外,所有本地用戶都可以讀取此文件。
PoC
獲取密碼的步驟:
1. 在C:ProgramDatapurevpnconfiglogin.conf文件中讀取。
例子:
圖3.具有明文憑據的文件的位置和內容
圖4.具有明文憑據的文件的許可權
最後,建議大家:
·如果使用PureVPN for Windows,請確認運行的是最新版本。
·切勿在服務之間重複使用密碼。
·儘可能啟用雙因素身份驗證。
為了幫助測試是否存在此漏洞,我還創建了一個Metasploit模塊,可以在此處訪問:https://github.com/rapid7/metasploit-framework/pull/10716
※CVE-2018-8373在野利用被發現
※追劇要小心!Netflix,HBO Go,Hulu等公司部分用戶的密碼在暗網被出售
TAG:嘶吼RoarTalk |