RedTeam Pentesting บริษัทความปลอดภัยซอฟต์แวร์จากเยอรมนีรายงานถึงการตรวจสอบความปลอดภัยของ Bitwarden ซอฟต์แวร์เก็บรหัสผ่าน โดยพยายามถอดรหัสฐานข้อมูลเมื่อผู้ใช้เปิดใช้งานฟีเจอร์ปลดล็อกฐานข้อมูลด้วย Windows Hello ที่ทำให้ผู้ใช้ไม่ต้องพิมพ์ master password ทุกรอบที่ต้องการใช้งาน แต่เพียงแต่ตรวจสอบลายนิ้วมือหรือใบหน้าเท่านั้น

ทีมงานพบว่า Bitwarden อาศัยฟีเจอร์ Credential Manager ของวินโดวส์ในการเก็บกุญแจถอดรหัสหลังจากผู้ใช้ในรหัสผ่านครั้งแรก ฟีเจอร์นี้เข้ารหัสข้อมูลภายในด้วยรหัสผ่านของผู้ใช้ และยังสำรองกุญแจไปยัง domain controller อีกด้วย แนวทางนี้ไมโครซอฟท์ออกแบบให้ผู้ใช้ที่ลืมรหัสผ่านสามารถกู้ฐานข้อมูลภายใน Credential Manager ออกมาได้แม้เปลี่ยนรหัสไปแล้ว ดังนั้นหากคนร้ายสามารถเข้าถึง domain controller และเข้าถึงเครื่องของเหยื่อได้ ก็จะสามารถถอดรหัสฐานข้อมูลใน Credential Manager ออกมาได้ด้วย ทำให้เปิดฐานข้อมูลใน Bitwarden ได้ทั้งหมด

ทาง RedTeam แจ้งแนวทางโจมตีนี้ไปยังไมโครซอฟท์และ Bitwarden ทางไมโครซอฟท์ระบุว่าซอฟต์แวร์ทำงานตามที่ออกแบบไว้ แต่ทาง Bitwarden ยอมรับว่าแม้คนร้ายจะเข้าถึงเครื่องได้ระดับนี้ก็ไม่ควรถอดรหัสฐานข้อมูลออกมาได้ และออกอัพเดต 2023.4.0 แก้ไขโดยใช้ KeyCredentialManager API ของวินโดวส์ที่ไม่สามารถถอดรหัสได้ หากไม่ได้ยืนยันตัวตนกับ Windows Hello จริงๆ และทาง RedTeam ก็เห็นว่าเป็นการแก้ไขที่ถูกต้องแม้ยังไม่ได้ตรวจสอบซ้ำอย่างจริงจังว่ามีช่องโหว่อื่นหรือไม่

ช่องโหว่นี้น่าจะโจมตีได้ยากเพราะคนร้ายต้องเข้าถึงเครื่องของเหยื่อได้ก่อน แต่รายงาน CVE-2023-27706 ก็ให้คะแนน CVSSv3.1 ไว้ที่ 7.1 เป็นช่องโหว่ระดับร้ายแรงสูง

ที่มา - RedTeam Pentesting