Когда дело доходит до аутентификации пользователя, существует множество вариантов: от паролей на более слабом конце спектра безопасности до аппаратных ключей на другом конце. Но что, если используемый вами аппаратный ключ безопасности может подвергнуть атаку вашу операционную систему? Yubico, охранная компания, разрабатывающая семейство продуктов YubiKey, выпустила предупреждение по безопасности об этом сценарии для пользователей Windows.
Рекомендации по безопасности Yubico YSA-2024-01
Yubico по праву считается производителем одного из самых безопасных продуктов аутентификации в линейке аппаратных ключей безопасности YubiKey. Если нужны доказательства, просто посмотрите Страница консультации по безопасности Yubico Записи относятся к последним трем годам, ни одна из них не указана за 2022 год, одна за 2023 год и одна за 2024 год. Именно последнее влияет на пользователей Windows, но не на тех, кто использует Edge в качестве предпочтительного клиента веб-браузера.
Юбико Консультации по безопасности YSA-2024-01 Программное обеспечение YubiKey Manager содержит уязвимость, которая может привести к атаке с повышением привилегий для пользователей Windows. Уязвимость указана как CVE-2024-31498 Он имеет рейтинг общей системы оценки уязвимостей 7,7, что означает, что это проблема с высоким уровнем риска, а не критическая проблема.
«Если пользователь запускает графический интерфейс YubiKey Manager от имени администратора, могут быть открыты окна браузера, которые графический интерфейс YubiKey Manager открыт от имени администратора, что может быть использовано локальным злоумышленником для выполнения действий от имени администратора», — говорит Юбико. Если это звучит тревожно, то это потому, что так оно и есть. Злоумышленник, которому уже необходим локальный доступ к рассматриваемому компьютеру с Windows, может использовать это повышение привилегий для дальнейшего компрометации этой системы. «Злоумышленник может использовать эту проблему для эскалации локальных атак и усиления воздействия атак через браузер», — предупреждает Юбико.
Затронутые программы и системы
CVE-2024-31498 затрагивает версии YubiKey Manager до версии 1.2.6 и пользователей Windows, которые не используют Edge в качестве браузера по умолчанию. Юбико объясняет, что это затрагивает только пользователей Windows, поскольку операционной системе требуются права администратора для взаимодействия с инструментами аутентификации FIDO, такими как YubiKey. В других операционных системах этот уровень повышенных разрешений не требуется. Поэтому пользователям Windows рекомендуется щелкнуть меню «О программе» и проверить, какую версию они используют. Все, что раньше 1.2.6, должно быть соответствующим образом обновлено. Это может быть последняя версия YubiKey Manager. Скачано прямо с сайта Yubico. или github.
Другие способы устранения уязвимости YubiKey Manager
Fast Identity Online Alliance — это открытый стандарт аутентификации, который в форме FIDO2 может обеспечивать, среди прочего, однофакторную аутентификацию без пароля, а также варианты двухфакторной и многофакторной аутентификации. Yubico советует пользователям не заказывать Особенности Фидо Вам не нужно запускать графический интерфейс YubiKey Manager от имени пользователя с повышенными привилегиями. Пользователи Windows также могут настроить Microsoft Edge в качестве веб-браузера по умолчанию, поскольку это уже включает средства защиты, предотвращающие наследование разрешений администратора при запуске способом, который обеспечивается этой уязвимостью. Однако я не рекомендую переходить на Edge из вашего любимого браузера; Вместо этого следуйте по маршруту обновления программного обеспечения, и тогда оно не понадобится.
«Зомби-любитель-евангелист. Неизлечимый создатель. Гордый новатор в твиттере. Любитель еды. Интернетоголик. Жесткий интроверт».
More Stories
Spotify обвиняет Apple в нежелательном изменении технологии регулировки громкости
Первый пациент Neuralink дал имя своему мозговому чипу и выучил новые языки
Meta рассматривает возможность выпуска новых очков смешанной реальности в качестве альтернативы гарнитурам