据行业媒体报道,PasswordstateBusiness用户的创建者ClickStudios已受到恶意补丁的影响,该补丁可以从应用程序中提取数据并发送它到由网络攻击者控制的服务器。ClickStudios在一封电子邮件中通知其所有客户,网络攻击者破坏了Passwordstate的升级机制,并使用它在用户的计算机上安装了恶意文件。它的文件名为“moserware.secretsplitter.dll”。安全服务机构CSISGroup周二发布的一份简短书面报告发现,该文件包含名为SecretSplitter的应用程序的合法副本,以及名为“Loader”的恶意代码。加载程序代码尝试在https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip检索文件存档,以便可以检索加密的第二阶段有效负载。解密后,其代码直接在内存中执行。ClickStudios在一封电子邮件中表示,该代码可以提取有关计算机系统的信息并选择Passwordstate数据,然后将其发布到攻击者的CDN网络。Passwordstate更新漏洞发生在世界标准时间4月20日上午8:33至世界标准时间4月22日上午12:30。网络攻击者于4月22日早上7:00关闭了其服务器。密码管理器的阴暗面许多安全从业者推荐密码管理器,因为它们允许用户轻松存储数百甚至数千个帐户典型的长而复杂的密码。如果没有密码管理器,许多用户将使用多个帐户重复使用的弱密码。Passwordstate漏洞凸显了密码管理器带来的风险,因为它们代表了可能导致大量在线资产受损的单点故障。如果启用双因素身份验证,则其风险会大大降低,因为仅提取密码不足以获得未经授权的访问。根据ClickStudios的说法,Passwordstate提供了几个双因素身份验证选项。此次违规尤其令人担忧,因为Passwordstate主要出售给使用管理器存储防火墙、虚拟网络和其他企业应用程序密码的企业客户。据ClickStudios称,Passwordstate受到全球29,000多家企业和370,000名安全和IT专业人员的信任,从最大的企业(包括许多财富500强公司)到最小的IT商店。另一次供应链攻击Passwordstate数据泄露是最近几个月曝光的一次备受瞩目的供应链攻击。12月,SolarWinds网络管理软件的恶意更新在18,000名企业用户的网络上安装了后门。本月早些时候,一个名为CodecovBashUploader的更新漏洞利用工具从受感染的机器中提取了秘密身份验证令牌和其他敏感数据,并将它们发送到黑客控制的远程站点。ClickStudios在电子邮件中得出结论,任何使用Passwordstate的人都应立即重置所有存储的密码,尤其是防火墙、虚拟网络、交换机、本地帐户和服务器的密码。
