Windows 10预装的密码管理器可能会有凭证泄漏风险

Google和微软一直互怼已经不是什么新闻了，不过对于普通的用户来说，两家公司的竞争才更能更有利于消费者。Tavis Ormandy就一直致力于寻找Windows的各种漏洞，而且每次找到后，都是直接将这些发现公之于众，搞得微软很是狼狈。

Tavis Ormandy介绍

Google信息安全工程师，英国人，目前居住在瑞士。是目前最著名的安全技术专家，曾被eWeek网站评为安全界最具影响力的15个人之首。在Google，他的主要责任是确保Google产品通过安全测试。他也是以安全著称的Gentoo Linux发布版的安全小组联席负责人。

漏洞介绍

这不就在本月的15号，Ormandy又新曝出了预装在Windows 10的密码管理器中发现漏洞，该漏洞可能会导致用户设置的密码泄漏，从而让黑客远程窃取用户的登录凭证。

Windows 10预装的密码管理器就是Keeper，Keeper是面向企业和个人的领先密码安全管理程序和数字保管库。

从Windows10 版本 1607(也称为周年更新) 开始，微软就在其操作系统中增加了一项名为Content Delivery Manager的新功能，该功能会悄悄地安装最新的“建议应用程序”，而不会通知用户。而Keeper就是在这样的情境中被安装在用户的电脑上的，要是我不说估计还有许多用户不知道有此应用，其实说实话我起初也不知道，还是几个月前Reddit的几个用户向我介绍了他们的新发现。

为了验证他们的发现，我在MSDN官网镜像下载了Windows 10最新系统，并创建了一个完全的虚拟运行环境。结果证明在默认情况下，我的设备已经安装了名为Keeper的密码管理器。

Ormandy解释说：

这是微软的捆绑销售，他们可能与Keeper达成了某种交易。

远程窃取登录凭证

在发现该问题后，Ormandy决定测试一下Keeper密码管理器是否有漏洞，如果有能够进行怎样的攻击？

经过几次测试之后，Ormandy在密码管理器中发现了一个严重的漏洞，而且攻击者可以利用这个漏洞完全破坏Keeper的安全性。由于Keeper的密码和系统的远程根的访问密码是共享的，所以该漏洞就允许黑客窃取用户所登录过网站的所有凭证。

Keeper问题频发

其实，本次Ormandy所发现的Keeper漏洞和他在2016年8月所发现的Keeper漏洞非常相似，当时恶意网站就已经可以使用该漏洞就来窃取用户登录凭证。不过当时Keeper还没有在微软的捆绑销售中，用户如果要用还要单独安装。

微软的回应

另外，Ormandy也发布了一个利用该漏洞盗取Twitter登录凭证的演示视频，并说到：

“Keeper密码管理器，不但没有起到任何防护效果的，而且还能让黑客盗取你的密码。”

其实Ormandy在15号曝出这个新闻之前，就已经给了微软90天进行更新的时间。

不过截止目前微软还没有任何行动，用Ormandy的话来说，他是迫不得已才公开这些发现的，以便督促微软加快更新速度。

其实，他这样说并不是没有道理，因为2015年 Ormandy 曾发文指出，微软的虚拟DOS机（VDM）中存在一个漏洞，非特权用户可以将代码直接注入系统内核，可能改变操作系统高度敏感的部分，从而完全控制系统。而这个漏洞是1993年7月Windows NT首次引入的，已经存在17年了。据Ormandy说，2009年6月他就已经将这个安全漏洞告知了微软了，也就是说微软在得到提醒之后的6年中还是什么也没有做。

不过本次，微软在Ormandy的帖子发布后不久就很快表了态，并解释说：

“这个问题是第三方应用程序也就是Keeper的问题，我们已经通知了开发商，要求他们尽快修补此漏洞。”

Keeper的回应

Keeper公司也已经确认了这个漏洞，并且发布了11.4版本来更新解决该漏洞。

该公司表示：

“建议没有升级到最新版本的用户，先不要使用Keeper进行密码管理。因为这个潜在的漏洞会要求Keeper用户在登录到浏览器时，把他们重定向到恶意网站，然后通过使用‘clickjacking’技术来欺骗用户输入登录凭证。”

缓解措施

尽管这不是微软产品本身的问题，但也间接地暴露了微软产品推广时所使用的手段，而这种方式很容易造成用户在不知情的情况下，信息被泄露。

虽然Keeper被预先安装了进来，不过用户也可以将其卸载禁用这个应用，这可以通过注册表设置来完成。