“流行的Windows密码管理器缺陷显示 立即更新警告已发布”

safebreach的研究人员公开了受欢迎的密码管理器的漏洞，如果合适，可以通过恶意代理进行特权升级攻击。

如果有漏洞的产品是密码管理器，则只有这个标题。 顶部伤害不仅仅是这些。

safebreach labs研究者发现密码管理器的缺陷了吗？

研究人员还发现，由于趋势科技密码管理器的错误，攻击者有可能获得系统的持久性。 这是因为趋势科技密码管理器中央控制服务( pwmsvc.exe )作为最高权限的windows帐户nt authority system在运行。

该服务可能会面临从客户到系统的权限升级，对攻击者来说非常有用和强大，safebreach labs的安全研究员peleg hadar说: 如果趋势科技签署了服务的可执行文件，事件会变得更加困难。 hadar指出，如果攻击者在此过程中找到了执行代码的方法，它可以作为应用程序白名单的旁路，并补充说，该服务将在计算机启动后自动启动。 这意味着这可能是攻击者的潜在目标。 用作持久性机制。

作为独立的密码管理器，趋势科技的密码管理器作为趋势科技最高安全产品的一部分被引入。 这个漏洞有两个根本原因。 hadar写着安全的dll加载不足，以及没有进行二进制文件的数字证书的验证。 如果将它们组合在一起，攻击者可能会使用受信任的签名服务加载和执行恶意负载。

趋势科技密码管理器漏洞调度

研究人员于7月23日向趋势科技报告了这些漏洞，并于7月31日发布了补丁。 8月14日，趋势科技发布安全公告，确认用目前可以通过的补丁处理了这些漏洞。 此产品的活动更新功能。

趋势科技目前未收到任何报告，也未发现与此漏洞相关的受影响产品的实际攻击，并且不断声明，要使用这些类型的漏洞，攻击者必须能够访问(物理上或远程上)易受攻击的机器。 尽管如此，趋势科技还是强烈建议尽快升级到最新版本。

内存时间较长的网民可能还记得，这并不是第一次发现趋势科技密码管理器容易受到攻击。 年1月5日，谷歌项目Zero的tavis ormandy说明了关键缺陷是如何实现任务执行的。

攻击者可以利用信任逃避趋势科技的检测

john opdenakker是一名对密码管理员特别感兴趣的道德黑客，他说攻击者需要访问受害者的计算机这一事实意味着演员有其他选择升级权限窃取密码。 但是，opdenakker并不担心恶意代码可以在趋势科技的签名过程中执行。 这可能会使攻击者逃避趋势科技的检测。 这是他们可能进行的很多事件。 更感兴趣。

关于trendmicropasswordmanager产品的顾虑，opdenakker反复认为密码管理器仍然是最安全的密码管理方法。 使用弱密码更糟糕的是，再次使用密码比使用密码管理器更有风险，他补充说，使用密码更有可能成为证书输入和词典攻击的受害者，而不是这样的漏洞。

建议遵循opedenakker最后的建议。 也就是说，要始终维护密码管理器和操作系统的补丁，并采用良好的防病毒软件。