Les mesures de sécurité de Windows Hello peuvent être contournées pour accéder à un coffre-fort de mots de passe populaire
Les gestionnaires de mots de passe ne sont pas parfaits. Récemment, LastPass a été accusé d'avoir volé des millions de crypto-monnaie et KeePass minimise le vol de bases de données de mots de passe. Bitwarden pourrait être le prochain à se faire critiquer. Il s'avère qu'un test de pénétration a découvert que le déverrouillage d'un coffre-fort de mots de passe avec la biométrie Windows Hello pouvait être contourné, permettant à un acteur de la menace de s'emparer des mots de passe.
Les chercheurs de RedTeam Pentesting viennent de publier un billet de blog concernant une vulnérabilité découverte dans Bitwarden qui permettrait à un attaquant de voler vos mots de passe sans aucune interaction de la part de l'utilisateur. Bien que le problème ait été signalé et corrigé dans Bitwarden v2023.4.0 en avril, il est toujours intéressant de voir le processus derrière cette attaque. L'histoire de l'intrusion dans Bitwarden commence avec RedTeam Pentesting qui effectue un test de pénétration chez un client disposant d'un environnement Windows.
Bien que l'équipe ait déjà obtenu un accès administratif au contrôleur de domaine, elle voulait voir si elle pouvait accéder au serveur de sauvegarde situé en dehors du domaine. L'espoir était de trouver des informations ou des identifiants permettant d'accéder au serveur de sauvegarde. En explorant, ils ont trouvé ce qui semblait être des mots de passe stockés en utilisant Bitwarden Desktop v2023.3.0 sur des stations de travail accédées par des comptes d'administrateur de domaine. Avec cet accès, l'équipe rouge aurait pu installer un enregistreur de frappe pour récupérer les mots de passe Bitwarden et en rester là, mais elle ne voulait pas "perturber l'activité du client en utilisant des techniques invasives".
C'est pourquoi ils ont tenté de percer le coffre-fort par des moyens plus traditionnels, comme une attaque par bourrage d'informations d'identification où des noms d'utilisateur et des mots de passe précédemment compromis ont été essayés. Ces tentatives se sont avérées infructueuses. L'équipe a ensuite téléchargé le fichier de stockage principal de Bitwarden à l'adresse %AppData%\Bitwarden\data.json, dans l'espoir d'y trouver quelque chose d'intéressant. Ce qu'ils ont découvert indiquait que le coffre-fort de Bitwarden pouvait être ouvert à l'aide de la biométrie alimentée par Windows Hello, la question était donc de savoir s'il s'agissait d'un vecteur d'attaque viable.
Pour comprendre l'orientation de l'équipe, il convient de faire un peu d'histoire sur Bitwarden et sur la façon dont vos mots de passe sont protégés. L'article de blog explique que les coffres-forts de mots de passe ne sont pas réellement protégés par votre mot de passe principal, mais plutôt par une clé de chiffrement de compte intermédiaire. Cette clé est stockée dans le coffre-fort et est une dérivation du mot de passe principal utilisé lors de la création du coffre-fort, qui est également dérivé chaque fois que le mot de passe est saisi pour décrypter les informations d'identification. Lorsque le déverrouillage biométrique est activé, au lieu de stocker le mot de passe principal, le système peut stocker une version cryptée de la clé dérivée pour l'utiliser ultérieurement. Ainsi, l'acquisition de la clé dérivée équivaut à la possession du mot de passe du coffre-fort lui-même.
Après quelques recherches, l'équipe a trouvé un moyen d'utiliser l'API Windows Credentials, qui utilise ensuite l'API de protection des données (DPAPI), pour obtenir la clé dérivée. Cela fonctionne en utilisant le mot de passe de l'utilisateur du domaine pour le compte. Cela signifie que tant qu'un mot de passe utilisateur ou une clé de sauvegarde à distance stockée sur le contrôleur de domaine est connu, les données sensibles peuvent être décryptées, contournant ainsi Windows Hello et la biométrie.
Une excellente explication et une preuve de concept sont disponibles ici. Notez également que ce n'est pas la première fois que ce problème est découvert. Il y a eu un rapport antérieur sur la plateforme de bug bounty HackerOne, que Bitwarden a suivi suite à la divulgation de RedTeam Pentesting. Cette vulnérabilité était alors répertoriée sous le nom de CVE-2023-27706.
Heureusement, comme indiqué précédemment, cette vulnérabilité a été corrigée, mais elle montre qu'aucun gestionnaire de mots de passe n'est parfait. C'est pourquoi il est toujours bon de mettre en œuvre l'authentification à deux facteurs, parmi d'autres bonnes mesures de cybersécurité, pour rester aussi sûr que possible. On ne sait jamais quand un astucieux pentester s'emparera de vos informations d'identification d'une manière détournée et fascinante.
HOTHARWARE