2018年2月4日 星期日

Microsoft Content Delivery Manager

Evo. G Tech Team

31 分鐘 ·

「你不知道的事」



據報導,從Windows 10 週年更新(1607版本)開始,Microsoft 就在其操作系統中增加了一項名為Content Delivery Manager 的新功能,該功能會暗中安裝新的“建議應用程序”,而不會通知用戶。



幾個月前,就有 Reddit 用戶表示發現了 Windows 10 中隱藏安裝的密碼管理器。後來,Google Project Zero 白帽黑客 Tavis Ormandy 證實,他在自己的 Windows 10 系統上發現了這款預裝的 Keeper Password Manager 密碼管理應用程序。



我最近用 MSDN 的原始圖像創建了一個全新的 Windows 10 虛擬機,發現系統默認安裝名為“Keeper”的密碼管理器。除了我,還有其他用戶也發現了這一點。我認為這是第三方與微軟的捆綁交易。



我之前就知道 Keeper,因為我前一陣子提交了一個利用 Keeper 將特權 UI 注入頁面的問題(issue 917)。這次,他們又做了類似的事情。我認為這是個嚴重的問題,需要深挖一下。因為我只是更改了一下選項,攻擊就能成功。



經過幾次測試之後,Ormandy 在 Keeper Password Manager 中發現了一個嚴重的漏洞,攻擊者可以利用這個漏洞“徹底入侵 Keeper,進而竊取密碼”。確切來說,密碼管理員使用一個小小的遠程根目錄就能分享用戶每個網站的密碼。這個漏洞與Ormandy在2016年8月在Keeper插件的非捆綁版本中發現的另一個漏洞非常相似,那個漏洞也會被惡意網站利用並竊取密碼。



Ormandy 向 Keeper 開發團隊報告了這個漏洞,Keeper 團隊在 11.4 新版本中刪除了“add to existing”(添加到當前)功能,進行了修復。 Keeper 團隊還宣稱該漏洞目前沒有在野利用實例。



Keeper Security的創始人兼首席技術官表示



這個潛在的漏洞利用過程大概為:Keeper 用戶在登錄瀏覽器擴展時將其誘騙到惡意網站,然後通過“clickjacking”(點擊劫持)技術在瀏覽器擴展中執行特權代碼來欺騙用戶輸入用戶名與密碼。



Ormandy 還發布了PoC ,如果用戶的 Twitter 密碼存儲在 Keeper 應用程序中,就可以被盜取。



至於為何 Keeper 密碼管理器會在用戶不知情的情況下預裝在 Windows 10 中,目前尚不清楚。不過,如果用戶沒有打開 Keeper 密碼管理器並存儲、管理密碼,那麼就不會受到這個漏洞的影響。用戶如果想要禁用 Content Delivery Manager,可以使用如下註冊表設置,以防止 Microsoft 在個人計算機中暗中安裝不需要的應用程序。



Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\DefaultUser\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager]



;0 = No Disable



;1 = Yes Enable (Default)



"PreInstalledAppsEnabled"=dword:00000000



----------------------- 000 -----------------------









Evo. G Tech Team
31 分鐘 ·
「你不知道的事」

据报道,从 Windows 10 周年更新(1607版本)开始,Microsoft 就在其操作系统中增加了一项名为 Content Delivery Manager 的新功能,该功能会暗中安装新的“建议应用程序”,而不会通知用户。

几个月前,就有 Reddit 用户表示发现了 Windows 10 中隐藏安装的密码管理器。后来,Google Project Zero 白帽黑客 Tavis Ormandy 证实,他在自己的 Windows 10 系统上发现了这款预装的 Keeper Password Manager 密码管理应用程序。

我最近用 MSDN 的原始图像创建了一个全新的 Windows 10 虚拟机,发现系统默认安装名为“Keeper”的密码管理器。除了我,还有其他用户也发现了这一点。 我认为这是第三方与微软的捆绑交易。

我之前就知道 Keeper,因为我前一阵子提交了一个利用 Keeper 将特权 UI 注入页面的问题(issue 917)。这次,他们又做了类似的事情。我认为这是个严重的问题,需要深挖一下。因为我只是更改了一下选项,攻击就能成功。

经过几次测试之后,Ormandy 在 Keeper Password Manager 中发现了一个严重的漏洞,攻击者可以利用这个漏洞“彻底入侵 Keeper,进而窃取密码”。确切来说,密码管理员使用一个小小的远程根目录就能分享用户每个网站的密码。这个漏洞与Ormandy在2016年8月在Keeper插件的非捆绑版本中发现的另一个漏洞非常相似,那个漏洞也会被恶意网站利用并窃取密码。

Ormandy 向 Keeper 开发团队报告了这个漏洞,Keeper 团队在 11.4 新版本中删除了“add to existing”(添加到当前)功能,进行了修复。Keeper 团队还宣称该漏洞目前没有在野利用实例。

Keeper Security的创始人兼首席技术官表示

这个潜在的漏洞利用过程大概为:Keeper 用户在登录浏览器扩展时将其诱骗到恶意网站,然后通过 “clickjacking”(点击劫持)技术在浏览器扩展中执行特权代码来欺骗用户输入用户名与密码。

Ormandy 还发布了PoC ,如果用户的 Twitter 密码存储在 Keeper 应用程序中,就可以被盗取。

至于为何 Keeper 密码管理器会在用户不知情的情况下预装在 Windows 10 中,目前尚不清楚。不过,如果用户没有打开 Keeper 密码管理器并存储、管理密码,那么就不会受到这个漏洞的影响。用户如果想要禁用 Content Delivery Manager,可以使用如下注册表设置,以防止 Microsoft 在个人计算机中暗中安装不需要的应用程序。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\DefaultUser\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager]

;0 = No Disable

;1 = Yes Enable (Default)

"PreInstalledAppsEnabled"=dword:00000000

----------------------- 000 -----------------------

※※ 這樣內容,上手會困難嗎?※※ 我想到什麼?就寫什麼!※※

※對於資訊!我想到什麼?就寫什麼!

如果困難的話?
歡迎來信討論或發表意見,我會儘快回覆。

也歡迎來 YAHOO 知識家,集思廣益!

我的YAHOO 知識家 首頁:
Yahoo 知識+ 2013年改版前 (網域似乎已作廢)
YAHOO 知識家+ 2013年改版後

有需要技術文件 DarkMan 蒐集了不少!
存在FTP共享。想下載?請洽DarkMan信箱取得下載帳號。※

(-.-)

我承認.....從西元2000年後,就沒有在「Grey Hat」過了?

況且,我們沒去玩弄中華電信的小烏龜.....我是安分守己的宅男
當然?駭客技術,是一種私下傳授的「奧義」,並不適合廣為人們學習!
畢竟,這樣多學習資訊的人?都被隔離~又隔離~切割~又切割~之後?
沒幾個能夠將「資訊整體」一窺全豹,自然沒有人,在資訊能力上,具有健全的行為。
至此,不少人都只懂得一部分?甚至更慘,活在一般資訊下,難以突破!

請散播更多Dark Man 的訊息!
DarkMan專用信箱darkman@ishr.twbbs.org
Mail 伺服器?遷移中!施工期間!有諸多不便!近請見諒!
"人資系統的黑暗人" http://hr-no.blogspot.com "
微軟免費「免費防毒軟體」
微軟免費「間諜攻擊防護」

Dark Man 對於擁有「技術、技能、軟體、硬體、平台」並不自大,而是更加的重視「自我約束、安全管理」,曾幾何時?那些對「職能素養」相當重視的人,都一一退出職場;留下的只是「自我膨脹、爭名奪利」的人。

重視職能達成的人?會否越來越不容易工作;除了要應付工作之餘?

還要去面對「自我膨脹、爭名奪利」之輩.......這是「極其惡意」的事情,為何?仍要這樣去組織「職場環境」,就因為「權大通天、利大遮事」嗎?

這裡講述到的「軟體平台」,沒有花一定的時間去熟悉,是不可能深入,也不可能順利操作,有興趣的人,要多花時間投入,才能夠掌握網路運用。