PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en France, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
vendredi, 29 décembre 2017 16:19

Keeper laisse les systèmes Windows 10 vulnérables au vol de mot de passe

Évaluer cet élément
(0 Votes)

Windows 10 installe une version vulnérable de Keeper par défaut

Microsoft vient tout juste de publier les mises à jour 'Patch Tuesday' pour décembre 2017, mais il y a déjà un autre exploit qui a besoin d'être corrigé : grâce à une vulnérabilité dans Keeper, une application de gestion des mots de passe tiers livrée avec les nouvelles versions de Windows 10, de nombreux mots de passe d'utilisateurs de Windows 10 sont désormais vulnérables. Et le pire ? Cette vulnérabilité a déjà été identifiée il y a 16 mois.

Un examen plus approfondi de la vulnérabilité de Keeper

La mise à jour Windows 10 Anniversary (version 1607) ajoute une nouvelle fonctionnalité appelée 'Content Delivry Manager', qui contourne la permission de l'utilisateur et installe silencieusement les applications. C'est ainsi que Keeper a été installé sur de nombreux systèmes Windows 10. Beaucoup d'utilisateurs attendent toujours que Microsoft explique pourquoi un gestionnaire de mots de passe tiers comme Keeper est installé sur leur ordinateur sans leur consentement.

Tavis Ormnady, un chercheur du projet Google Project Zero, a signalé un exploit similaire pour une version non packagée de Keeper il y a plus d'un an. En testant ce gestionnaire de mots de passe tiers, Ormnady a trouvé une vulnérabilité critique qui permet aux attaquants de désactiver la sécurité de Keeper et de voler tous les mots de passe qui y sont stockés.

Keeper a été livré dans les systèmes Windows par l'intermédiaire de Content Delivery Manager le 6 décembre, même si, à l'époque, Keeper n'avait toujours pas corrigé cette vulnérabilité antérieure. Il précise que la vulnérabilité de la version packagée est fondamentalement la même que celle qu'il a rapportée en août 2016. Il a également fourni une preuve de concept (PoC) en démontrant l'attaque sur Twitter, comme montré ci-dessous.

Mise à jour publiée pour Keeper

Après le signalement d'Ormnady, Keeper a corrigé cette vulnérabilité en publiant la version 11.4, une mise à jour qui supprime la fonctionnalité "add to existing". Cette vulnérabilité affecte uniquement la version 11 de Keeper, tandis que les autres versions restent sécurisées. La version 11 a été lancée le 6 décembre dernier comme une mise à jour majeure de l'extension du navigateur.

Si vous n'avez pas ouvert Keeper et que vous ne l'avez pas activé pour stocker les mots de passe, vous êtes à l'abri de la vulnérabilité. Si vous avez utilisé Keeper, vous devez suivre les étapes suivantes pour remédier à la vulnérabilité dès que possible

Comment résoudre cette vulnérabilité de Keeper

Il y a trois façons de résoudre ce problème:

1. Empêcher cette vol de mots de passe en mettant à jour Keeper à la dernière version (11.4).

2. Modifiez votre base de registre pour désactiver la fonctionnalité Content Delivery Manager de Microsoft à l'aide du réglage du registre ci-dessous.

Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\DefaultUser\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager]
;0 = No Disable
;1 = Yes Enable (Default)
"PreInstalledAppsEnabled"=dword:00000000

 3. Pour résoudre ce problème pour l'ensemble de votre réseau de systèmes Windows 10, vous pouvez utiliser l'option de modèle de package de Desktop Central, qui vous permet d'exécuter ce réglage du registre sur tous vos ordinateurs ciblés à partir d'un seul emplacement, en utilisant une seule procédure de déploiement.

 

Vous pouvez vérifier par vous-même nos options de template avant de télécharger Desktop Central.

Ou téléchargez Desktop Central dès maintenant si vous êtes prêt à déployer de nouveaux types de configurations de sécurité pour sécuriser votre réseau. 

Giridhara Raam, Analyste Marketing chez ManageEngine

 

Lu 2995 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.