비밀번호 관리 프로그램 비트워든(Bitwarden)에서 자동 완성 기능에는 신뢰할 수 있는 웹사이트에 내장된 악성 iframe이 사람들의 자격 증명을 훔쳐 공격자에게 보낼 수 있는 위험한 동작이 포함되어 있습니다. 제는 비트워든(Bitwarden)이 2018년에 처음 문제를 알게 되었지만 iframe을 사용하는 합법적인 사이트를 수용하도록 허용하기로 했으며 자동 채우기 기능은 기본적으로 Bitwarden에서 비활성화되어 있고 이를 악용할 수 있는 조건이 충분하지 않지만 이를 악의적으로 제작된 웹 사이트에서 결함을 악용할 수 있는 요구 사항을 충족하는 웹 사이트에서는 위험할 수가 있습니다.
Bitwarden은 암호화된 볼트에 계정 사용자 이름 및 암호와 같은 비밀을 저장하는 웹 브라우저 확장 기능이 있는 인기 있는 오픈 소스 암호 관리 서비스이며 사용자가 웹사이트를 방문하면 확장 프로그램은 해당 도메인에 저장된 로그인이 있는지 감지하고 자격 증명을 입력하도록 제안을 합니다. 동 채우기 옵션이 활성화되어 있으면 사용자가 어떠한 동작을 하지 않아도 자동으로 아이디, 비밀번호를 입력해서 사용자가 편하게 사용을 할 수가 있는 기능 중 하나입니다.
여기서 보안 연구원인 Flashpoint 분이 Bitwarden을 분석하는 동안 브라우저에서 있는 확장 부가기능이 내장된 iframe에 정의된 양식, 심지어 외부 도메인의 양식도 자동으로 채운다는 사실을 발견했습니다.
내장된 iframe은 상위 페이지의 콘텐츠에 액세스할 수 없지만, 로그인 양식에 대한 입력을 기다릴 수 있으며 입력된 자격 증명을 추가 사용자 상호 작용 없이 원격 서버로 전달 하다고 하며 트래픽이 많은 웹사이트의 로그인 페이지에 iframe이 포함되는 빈도를 조사하고 위험한 경우의 수가 매우 적어 위험이 많이 감소한다고 보고 했습니다.
iframe 문제를 조사하는 동안 Flashpoint에서 발견한 두 번째 문제는 Bitwarden이 로그인과 일치하는 기본 도메인의 하위 도메인에 대한 자격 증명도 자동으로 채우는 문제입니다. 자동 채우기가 활성화된 경우 지정된 기본 도메인에 대해 저장된 로그인과 일치하는 하위 도메인에서 피싱 페이지를 호스팅하는 공격자가 피해자가 페이지를 방문할 때 자격 증명을 훔칠 수가 있다는 말이 됩니다.
즉 일부 콘텐츠 호스팅 공급자는 로그인 페이지도 제공하는 공식 도메인의 하위 도메인에서 임의의 콘텐츠 호스팅을 허용하는 것입니다. 합법적인 웹사이트의 기본 도메인과 일치하는 하위 도메인을 등록하는 것이 항상 가능한 것은 아니므로 문제의 심각성이 줄어들지만, 일부 서비스에서는 사용자가 무료 호스팅 서비스와 같은 콘텐츠를 호스팅하기 위해 하위 도메인을 생성할 수 있으며 하위 도메인 하이재킹을 통한 공격은 여전히 가능합니다. 비트워드 공식 사이트 경고문 내용
warning
This feature is disabled by default because, while generally safe, compromised or untrusted websites could take advantage of this to steal credentials.
warning
이 기능은 일반적으로 안전하지만 손상되거나 신뢰할 수 없는 웹 사이트가 자격 증명을 도용하기 위해 이 기능을 이용할 수 있기 때문에 기본적으로 비활성화되어 있습니다.
Bitwarden은 자동 완성 기능이 잠재적인 위험임을 강조하며 특히 손상된 사이트가 자격 증명을 훔치려고 자동 완성 기능을 남용할 우려를 언급을 공식 사이트에서 게재하고 있습니다. 여기서 사용자는 외부 도메인에서 내장된 iframe 을 사용하여 서비스에 로그인해야 하므로 Bitwarden의 엔지니어는 동작을 변경하지 않고 소프트웨어 설명서 및 확장 관련 설정 메뉴에 경고를 추가하기로 했습니다. URI 처리 및 자동 채우기가 하위 도메인을 처리하는 방법에 대한 Flashpoint의 두 번째 보고서에 응답이 있었지만, 합법적인 사이트의 로그인 양식이 iframe을 사용하기 때문에 기능을 변경하지 않았다고 확인했습니다.
페이지 로드 자동 채우기 기능은 Bitwarden의 브라우저 확장에서 사용할 수 있습니다. 기본적으로 비활성화되어 있으며 사용자가 일일이 켜야 합니다.
Bitwarden 확장에서 설정을 선택한 다음 자동 채우기 옵션을 선택하면 됩니다. 페이지 로드 시 자동 채우기를 선택하면 브라우저에서 기능이 활성화
Bitwarden은 다음 설정에서 경고를 표시합니다. 로그인 양식이 감지되면 웹 페이지가 로드될 때 자동 채우기. 경고: 손상되었거나 신뢰할 수 없는 웹 사이트는 페이지 로드 시 자동 채우기를 악용할 수 있습니다.
해당 기능이 활성화되면 기본 설정을 편집할 수 있습니다. Bitwarden 사용자에게는 두 가지 주요 옵션이 있습니다.
페이지 로드 시 자동 채우기:모든 사이트에서 자동 채우기 기능을 자동으로 사용합니다. 특정 사이트에서 비활성화하는 옵션이 제공
페이지 로드 시 자동 채우기 안 함: 기본적으로 자동 채우기 기능을 비활성화
일부 사이트에서만 활성화하는 옵션이 포함되어 있음
요약:그냥 자동 채우기 기능을 비활성화된 상태로 사용하면 기본적으로 비활성화인 이유는 다 이유가 있는 경우입니다. 즉 이런 위험 감수하면서 해당 기능을 사용하려면 사용자가 사용하시면 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
북한 김수키(Kimsuky)워드 악성코드-협의 이혼 의사 확인 신청서.doc (0) | 2023.03.17 |
---|---|
Firefox 111(파이어폭스 111) 보안 및 새로운 기능 업데이트 (0) | 2023.03.17 |
윈도우 10 KB5023696 및 KB5023697 보안 업데이트 (0) | 2023.03.16 |
HTM 첨부 파일을 이용한 전자자금이체(EFT) 위장 하고 있는 피싱 파일-EFT Payment(2023.02.16) (0) | 2023.03.14 |
비트코인 해킹 협박 메일(혹스 메일)대처 및 분석-in2 getdrip com(2023.03.03) (0) | 2023.03.10 |
네이버 고객센터 사칭 피싱 메일 분석-nover o-r kr(2023.03.08) (0) | 2023.03.09 |
마이크로소프트 윈노트(OneNote) 악성코드가 사용자 컴퓨터를 감염 시키는것 예방 방법 (0) | 2023.03.08 |
암호화 키를 훔칠 수 있는 새로운 TPM 2.0 결함 발견 (0) | 2023.03.07 |