“受影响的客户的数量仍然很低”,最新的供应商更新
更新存储在Enterprise Password Manager PasswordState中的密码可能已被种植恶意软件更新文件的攻击者“收获”,该应用程序的开发人员单击工作室,揭示了。
根据点击工作室安全咨询(PDF)于4月24日发布,“复杂”供应链攻击可能影响执行的客户就地升级在供应商禁用该功能之前的28小时期间。
手动升级未受影响,单击工作室表示。
供应商已发出一个修补程序,并建议受影响的用户重置所有内容密码存储在密码管理器中。
高价值目标
事件首先记录在一个博客文章从丹麦Infosec公司CSIS集团于4月23日被称为恶意软件'MoseSerpass'。
企业密码管理器用于安全地存储对授予机密系统和数据的访问权限的公司密码,凭据,秘密,令牌和键。
阅读更多Cocoapods RCE利用300万移动应用程序使用的repo暴露的钥匙
单击工作室说PasswordState被使用超过29,000名客户,包括财富500强的公司和垂直公司组织,包括银行,公用事业和医疗保健。
但是,在一秒钟内安全咨询(PDF)发布昨日(4月25日),澳大利亚公司坚决认为“受影响的客户仍然似乎非常低”。
然而,该公司表示,此评估“可能会随着更多客户提供所要求的信息”。
Moserpass攻击向量
单击工作区表示,攻击者会损害单击工作室的升级总监'beplay体育能用吗网站“将就地升级点指向位于内容分发网络上的适当版本”。
基于阿德莱德的公司没有确认所涉及的攻击方法,但表明他们不包括滥用“被盗或弱凭证”。
第二个咨询还指出,单击工作室“CDN网络未受到损害”,另一个用于内部使用的另一个公告支持自己的“初始分析”。
时间线
UTC 4月20日,20:33 UTC和4月22日00:30 00:30 00:30升级,将客户面临下载“Malfered PasswordState_upgrade.zip文件”的风险。
该软件供应商表示,它开始帮助“在4月21日举行的”少数客户报告了就地升级的问题“,并通过第二天通过电子邮件提醒客户。
下载火车中的恶意文件集,该过程中的进程中的提取密码和其他系统信息的提取到攻击者的CDN网络。
这包括计算机,用户,域,当前进程和所有运行服务的名称;当前的过程ID;所有运行进程的名称和ID;显示名称和状态;和passwordstate实例的代理服务器地址,用户名和密码。
密码表字段中继到攻击者包括标题,用户名,描述,genericfield1,genericfield2,genericField3,Notes,URL和密码。
“没有证据证明加密键或数据库连接字符串已发布到Bad Actor CDN网络“,单击Studios。这意味着“GenericFields”数据安全,用户选择加密这些字段。
缓解建议
如果Mosearware.seCretsplitter.dll文件,客户“可能会受到影响”C:\ inetpub \ passwordstate \ bin \目录大小为65 kB,符合妥协的指示。
在其最新的咨询中,软件开发人员提供了可用于检查文件是否恶意的校验和。
“点击工作区首先与客户合作,识别它们是否受到影响并建议他们所需的补救措施,”一下工作室告诉每日SWbeplay2018官网IG.。“为此,为此,开发人员和销售人员的技术支持团队成员仅在技术上为客户提供专注。”
该公司还建议客户和合作伙伴参考事件管理咨询页面有关事件相关的最新更新。
本文于4月27日更新,并从单击工作室的声明。
