Fino a poco tempo fa, i processi o gli utenti locali potevano aprire i depositi di password biometriche di Bitwarden in Windows. La causa è stata l’uso errato di Windows Credential Guard, che salva le chiavi biometriche ma rivela anche i dati di accesso senza un test fisico di Windows Hello.
Bitwarden: Windows Hello viene utilizzato in modo diverso da Authenticator
Quando lo sblocco biometrico è attivato in Bitwarden Desktop per Windows, l’applicazione genera una chiave master biometrica e la memorizza nelle credenziali Windows dell’utente attivo. L’applicazione difettosa ha consentito agli aggressori di chiamare una funzione API di Windows CredRead Leggi questa chiave master e quindi i dati memorizzati localmente in %appdata%\Bitwarden\data.json Per la decodifica – senza prompt biometrico. file data.json È possibile accedervi da qualsiasi programma senza privilegi elevati (CVE-2023-27706, CVSS 6.2rischio”mezzo“).
Come sviluppatori di Bitwarden nel corso Avviso di sicurezza su Hackerone Spiega, hanno risolto il problema facendo firmare a Windows Hello una sfida che crittografa la chiave biometrica di Bitwarden prima di salvarla. Di conseguenza, altre applicazioni possono ancora leggere il segreto, ma rimane crittografato e inutilizzabile. Per la decrittografia, l’applicazione deve attivare la decrittografia biometrica utilizzando Windows Hello, che attiva una richiesta da parte degli utenti. Questo è il Metodo documentato che microsoft Tradizionalmente progettato per l’autenticazione lato server.
Inoltre, gli sviluppatori hanno aggiunto l’opzione nelle impostazioni in cui è necessario inserire prima una password o un codice PIN all’avvio dell’applicazione. Questo è anche in linea con la loro raccomandazione di una configurazione sicura.
Gli sviluppatori consigliano di abilitare la nuova opzione “Richiedi password o PIN all’avvio dell’applicazione”. Questo migliora la sicurezza su Windows.
(foto: screenshot/dmk)
Il client Bitwarden Windows è armato contro questa vulnerabilità dalla versione 2023.4.0. Chiunque non sia ancora aggiornato automaticamente dovrebbe scaricare la versione corrente di Pagina di download di Bitwarden Scarica e installa.
In realtà non guardavo la funzione Windows Hello per sbloccare i depositi di password di Bitwarden da circa un anno e sono rimasto piuttosto colpito dalla praticità. Sebbene la raccomandazione generale sia quella di utilizzare un gestore di password, Bitwarden è stato lo strumento open source gratuito preferito in questo esempio specifico.
(DMK)
“Pensatore incurabile. Appassionato di cibo. Studioso di alcol sottilmente affascinante. Difensore della cultura pop.”
More Stories
Gli utenti Samsung dovrebbero aggiornarsi immediatamente: c’è il rischio di perdere il controllo dello smartphone
Nuovo gioco di carte collezionabili lanciato per Android e iOS
Sicurezza Web: utilizzo della policy di sicurezza dei contenuti contro il cross-site scripting, parte 1