Um pesquisador de segurança descobriu uma falha no Kaspersky Password Manager (KPM) que estava gerando senhas com criptografia fraca e que poderiam ser facilmente violadas por ataques de força bruta em segundos.
O KPM é um gerenciador de senhas desenvolvido pela empresa de segurança russa Kaspersky, que permite os usuários armazenar com segurança senhas e documentos em uma camada criptografada e protegida por senha.
Todos os dados confidenciais armazenados nesta camada criptografada são protegidos com uma senha mestre. O serviço está disponível para vários sistemas operacionais como Windows, macOS, Android, iOS, Web.
Ele também permite que os usuários criem senhas fortes e aleatórias a partir de uma determinada "política", que consiste em tamanho de senha, letras maiúsculas, letras minúsculas, dígitos e um conjunto personalizado de caracteres especiais.
Por padrão, o KPM gera senhas de 12 caracteres com um conjunto de caracteres estendido. O problema de vulnerabilidade de codinome "CVE-2020-27020" foi descoberto pela equipe de pesquisa de segurança da Ledger Donjon.
A Ledger Donjon é uma empresa de segurança com sede em Paris, na França, que publica periodicamente boletins de segurança e também trabalha com programa de "Bug Bounty", oferecendo recompensas a pesquisadores de segurança.
"O gerador de senha incluído no Kaspersky Password Manager (KPM) teve vários problemas. O mais crítico é que ele usou um PRNG não adequado para fins criptográficos", escreveu Jean-Baptiste Bédrune, chefe de pesquisa de segurança da Ledger Donjon.
"Sua única fonte de entropia era o tempo atual. Todas as senhas criadas por ele podem ser submetidas a força bruta em segundos."
Os pesquisadores descobriram que o mecanismo usado pelo KPM para gerar essas senhas aleatórias tinha vários problemas, já que o Kaspersky estava usando o tempo atual do sistema em segundos como a semente em um gerador de número pseudo-aleatório Mersenne Twister (PRNG).
"Isso significa que cada instância do Kaspersky Password Manager no mundo irá gerar exatamente a mesma senha em um determinado segundo."
Segundo Bédrune, como o programa tem uma animação que leva mais de um segundo quando uma senha é criada, a fraqueza não foi descoberta antes.
"As consequências são obviamente ruins: todas as senhas podem sofrer força bruta. Por exemplo, existem 315619200 segundos entre 2010 e 2021, então o KPM pode gerar no máximo 315619200 senhas para um determinado conjunto de caracteres. O força bruta leva alguns minutos", acrescentou.
Quando os sites ou fóruns exibem o tempo de criação das contas, um invasor pode tentar usar força bruta na senha da conta com um pequeno intervalo de senhas (~100) e obter acesso a ela.
Além disso, as senhas de bancos de dados vazados contendo senhas com hash, senhas para arquivos criptografados, volumes TrueCrypt / Veracrypt, etc. também podem ser facilmente recuperadas se tiverem sido geradas usando KPM.
A Kaspersky foi informada sobre a vulnerabilidade em junho de 2019, que lançou a versão corrigida em outubro de 2019. Em outubro de 2020, os usuários foram notificados de que algumas senhas precisariam ser geradas.
"O gerador de senhas não era totalmente criptograficamente forte e potencialmente permitia que um invasor predisse as senhas geradas em alguns casos. Um invasor precisaria saber algumas informações adicionais (por exemplo, tempo de geração de senha)", disse a empresa em seu comunicado de segurança publicado em 27 de abril de 2021.
"Todas as versões públicas do Kaspersky Password Manager responsáveis por este problema agora têm uma nova lógica de geração de senha e um alerta de atualização de senha para casos em que uma senha gerada provavelmente não é forte o suficiente.", acrescentou.
Embora o problema já tenha sido corrigido, várias versões do KPM antes de 9.0.2 Patch F no Windows, Android antes de 9.2.14.872 e iOS antes de 9.2.14.31 foram afetadas.
"A Kaspersky corrigiu um problema de segurança no Kaspersky Password Manager, que potencialmente permitia que um invasor descobrisse as senhas geradas pela ferramenta", disse a Kaspersky em um comunicado.
"Esse problema só era possível no caso improvável de o invasor saber as informações da conta do usuário e a hora exata em que uma senha foi gerada. Também exigiria que o alvo diminuísse as configurações de complexidade de senha.", acrescentou.
"A empresa emitiu uma correção para o produto e incorporou um mecanismo que notifica os usuários se uma senha específica gerada pela ferramenta pode ser vulnerável e precisa ser alterada", acrescentou.
A Kaspersky recomenda que seus usuários verifiquem a versão do aplicativo e instalem as atualizações mais recentes.
Via: Donjon Ledger
