Угрозы утечки учетных данных в Windows PureVPN Client

Использование VPN (виртуальной частной сети) может принести много преимуществ, особенно когда вы хотите получить доступ к удаленным ресурсам или используете сеть, которой вы не полностью доверяете, например, кафе или аэропорт.

В последние годы наблюдается рост числа провайдеров VPN, ориентированных на пользователей, которые могут быть не технически подкованными, но все же хотят использовать VPN для повышения безопасности своих подключений, заботятся о конфиденциальности или хотят обойти некоторые географические ограничения ,

Одна из основных функций, предлагаемая такими провайдерами, заключается в том, что очень просто настроить VPN.

Всего несколько кликов, простая настройка, и вы готовы к работе.

Поскольку поставщики хотят облегчить жизнь пользователям, большинство клиентов предлагают хранить пароли, чтобы вы могли подключаться с помощью щелчка (или даже делать это автоматически при каждом запуске вашего ноутбука).

У меня было некоторое любопытство относительно функциональности «сохраненного пароля», поэтому я начал копать, и я обнаружил две уязвимости. Мы раскрыли эти уязвимости в PureVPN как часть нашей программы Responsible Disclosure. Они приняли риск первого и предоставили патч для второго.

Подробности можно найти в консультативном TWSL2018-010.

Я тестировал эти уязвимости в следующих предположениях и условиях:

• Клиент PureVPN имеет установку по умолчанию.
• Злоумышленник имеет доступ к любой локальной учетной записи пользователя.
• Кто-то успешно выполнил вход в PureVPN с помощью клиента на компьютере под управлением Windows в любой момент времени.
• У машины Windows есть несколько пользователей в случае раскрытия учетных данных других пользователей в многопользовательской среде.

Уязвимости обнаружены в версии 5.18.2.0 клиента PureVPN Windows и раскрыты поставщику.

Поставщик выпустил патч. Мы протестировали версию 6.1.0, и она больше не уязвима.

Я объясню каждую найденную уязвимость:

Уязвимость №1 — пароль, указанный в окне конфигурации клиента

Не исправлено. Поставщик принял риски

Описание

Клиент PureVPN Windows,, может разрешить локальному злоумышленнику получить сохраненный пароль последнего пользователя, который успешно выполнил вход в службу PureVPN.

Из-за этого локальный злоумышленник может получить учетные данные PureVPN другого пользователя, если на машине Windows есть несколько пользователей, если они успешно вошли в систему

Атака выполняется исключительно через графический интерфейс пользователя (GUI), нет необходимости использовать внешние инструменты.

Шаги для получения пароля:

• Откройте клиент Windows PureVPN.
• Перейти к настройке
• Откройте вкладку «User Profile».
• Нажмите «Show Password»

Уязвимость №2 — хранилище данных PureVPN для проверки подлинности Windows

Исправлено

Описание

Клиент Windows PureVPN хранит учетные данные входа (имя пользователя и пароль) в виде открытого текста. Местоположение таких файлов: ‘C: \ ProgramData \ purevpn \ config \ login.conf`

Кроме того, все локальные пользователи могут прочитать этот файл.

Шаги для получения пароля:

Прочитайте файл в ‘C: \ ProgramData \ purevpn \ config \ login.conf`

Наконец, некоторые рекомендации:

• Если вы используете PureVPN для Windows, убедитесь, что вы используете последнюю версию, если не обновляете автоматически.
• Никогда не используйте повторно пароль между службами.
• По возможности включите двухфакторную аутентификацию.

Чтобы помочь вам проверить наличие этой уязвимости, также создан модуль Metasploit, доступ к которому вы можете получить здесь: https://github.com/rapid7/metasploit-framework/pull/10716

¯\_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.