[[396611]]

據行業媒體報道，Passwordstate密碼管理器的創建者Click Studios公司日前表示，該公司的2.9萬家采用Passwordstate密碼管理器的企業用戶受到了一個惡意補丁的影響，該補丁可以從應用程序中提取數據，并將其發送到網絡攻擊者控制的服務器。

Click Studios公司在一封電子郵件中告知其所有客戶，網絡攻擊者破壞了Passwordstate的升級機制，并利用它在用戶的計算機上安裝了一個惡意文件。其文件名為“moserware.secretsplitter.dll”。安全服務商CSIS Group日前發布的一份簡短書面報告指出，這個文件包含一個名為SecretSplitter的應用程序的合法副本，以及名為“Loader”的惡意代碼。

加載程序代碼嘗試在https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip 上檢索文件存檔，以便可以檢索加密的第二階段有效負載。在解密之后，其代碼將直接在內存中執行。Click Studios公司在一封電子郵件中指出，該代碼可以提取有關計算機系統的信息，并選擇Passwordstate數據，然后將其發布到網絡攻擊者的CDN網絡中。

Passwordstate更新漏洞的發生時間范圍是從全球標準時間(UTC)的4月20日上午8:33到4月22日上午12:30。網絡攻擊者已于4月22日上午7:00關閉其服務器。

密碼管理器的陰暗面

很多安全從業人員推薦用戶采用密碼管理器，因為它們使用戶可以輕松地存儲數百個甚至數千個帳戶所特有的冗長而復雜的密碼。在不使用密碼管理器的情況下，許多用戶都將使用弱密碼，這些密碼會被多個帳戶重復使用。

Passwordstate漏洞凸顯了密碼管理器帶來的風險，因為它們代表一個單點故障，可能導致大量在線資產受損。如果啟用了雙重身份驗證，則其風險將會顯著降低，因為僅提取的密碼不足以獲得未經授權的訪問。Click Studios表示，Passwordstate提供了多個雙重身份驗證選項。

由于Passwordstate主要出售給使用管理器存儲防火墻、虛擬網絡和其他企業應用程序密碼的企業客戶，因此這一違規行為尤其令人擔憂。Click Studios公司指出，Passwordstate受到全球29,000多家企業以及370,000名安全和IT專業人員的信任，其用戶范圍從規模最大的企業(包括許多財富500強公司)到最小的IT商店。

又一次的供應鏈攻擊

Passwordstate的數據泄露是最近幾個月曝光的一次備受矚目的供應鏈攻擊事件。去年12月， SolarWinds網絡管理軟件的一個惡意更新在18,000個企業用戶的網絡上安裝了后門程序。在本月初，一個名為Codecov Bash Uploader的更新開發工具從受感染的機器中提取了秘密身份驗證令牌和其他敏感數據，并將它們發送到黑客控制的遠程站點。

Click Studios公司最后在郵件中呼吁，使用Passwordstate的任何人都應立即重置所有存儲的密碼，尤其是防火墻、虛擬網絡、交換機、本地帳戶和服務器的密碼。