Fino a poco tempo fa, i processi o gli utenti locali potevano aprire i depositi di password biometriche di Bitwarden in Windows. La causa è stata l’uso errato di Windows Credential Guard, che salva le chiavi biometriche ma rivela anche i dati di accesso senza un test fisico di Windows Hello.
Bitwarden: Windows Hello viene utilizzato in modo diverso da Authenticator
Quando lo sblocco biometrico è attivato in Bitwarden Desktop per Windows, l’applicazione genera una chiave master biometrica e la memorizza nelle credenziali Windows dell’utente attivo. L’applicazione difettosa ha consentito agli aggressori di chiamare una funzione API di Windows CredRead Leggi questa chiave master e quindi i dati memorizzati localmente in %appdata%\Bitwarden\data.json Per la decodifica – senza prompt biometrico. file data.json È possibile accedervi da qualsiasi programma senza privilegi elevati (CVE-2023-27706, CVSS 6.2rischio”mezzo“).
Come sviluppatori di Bitwarden nel corso Avviso di sicurezza su Hackerone Spiega, hanno risolto il problema facendo firmare a Windows Hello una sfida che crittografa la chiave biometrica di Bitwarden prima di salvarla. Di conseguenza, altre applicazioni possono ancora leggere il segreto, ma rimane crittografato e inutilizzabile. Per la decrittografia, l’applicazione deve attivare la decrittografia biometrica utilizzando Windows Hello, che attiva una richiesta da parte degli utenti. Questo è il Metodo documentato che microsoft Tradizionalmente progettato per l’autenticazione lato server.
Inoltre, gli sviluppatori hanno aggiunto l’opzione nelle impostazioni in cui è necessario inserire prima una password o un codice PIN all’avvio dell’applicazione. Questo è anche in linea con la loro raccomandazione di una configurazione sicura.
Gli sviluppatori consigliano di abilitare la nuova opzione “Richiedi password o PIN all’avvio dell’applicazione”. Questo migliora la sicurezza su Windows.
(foto: screenshot/dmk)
Il client Bitwarden Windows è armato contro questa vulnerabilità dalla versione 2023.4.0. Chiunque non sia ancora aggiornato automaticamente dovrebbe scaricare la versione corrente di Pagina di download di Bitwarden Scarica e installa.
In realtà non guardavo la funzione Windows Hello per sbloccare i depositi di password di Bitwarden da circa un anno e sono rimasto piuttosto colpito dalla praticità. Sebbene la raccomandazione generale sia quella di utilizzare un gestore di password, Bitwarden è stato lo strumento open source gratuito preferito in questo esempio specifico.
(DMK)
“Incurable thinker. Food enthusiast. Subtly charming alcohol scholar. Pop culture advocate.”
More Stories
Ecco come vivere l’eclissi di superluna il 18 settembre
Santa Monica dà il benvenuto ai giocatori PC con nuove funzionalità
Microcontrollori: collaborazione in tempo reale nel cloud Arduino