L'anno scorso gli utenti di Kaspersky Password Manager (KPM) hanno ricevuto un avviso che diceva loro di aggiornare le password più deboli. Ora, a distanza di qualche mese, è stato possibile capire perché erano presenti password così deboli all'interno di KPM. In sostanza, il generatore casuale di password di Kaspersky Password Manager non era poi così casuale.
Come riferisce The Register, nel marzo 2019, Kaspersky Lab ha inviato un aggiornamento per KPM, promettendo che l'applicazione avrebbe potuto identificare password deboli e generare sostituzioni efficaci. Tre mesi dopo, un team della società di consulenza sulla sicurezza Donjon ha scoperto che KPM non gestiva particolarmente bene nessuna delle due attività: il software utilizzava un generatore di numeri pseudo-casuali (PRNG) che non era sufficientemente casuale per creare password complesse.
Da quel momento fino agli ultimi mesi del 2020, KPM suggeriva password che potevano essere facilmente decifrate, senza segnalare le password deboli per gli utenti. "Il generatore di password incluso in Kaspersky Password Manager ha avuto diversi problemi", ha spiegato martedì il team di ricerca di Donjon in un post sul blog. "Il più critico è che ha usato un PRNG non adatto a scopi crittografici. Tutte le password create potevano essere forzate in pochi secondi."
KPM utilizzava l'ora corrente del sistema per generare le password casuali, spiega Donjon, quindi generava password identiche nello stesso momento in qualsiasi parte del mondo. Ma l'interfaccia di KPM include un'animazione che dura un secondo con dei caratteri casuali che si spostano rapidamente e che oscurano il momento effettivo in cui viene generata la password. Questo ha reso il problema più difficile da individuare.
Tuttavia, la mancanza di casualità ha fatto sì che le possibili password create fossero abbastanza limitate da poter essere forzate in pochi minuti. E se si conosce l'ora di creazione di un account – che viene comunemente visualizzata nei forum online, secondo Donjon – le possibili password si riducono a davvero pochi tentativi e si riduce il tempo necessario per gli attacchi brute force a una manciata di secondi.
"Le conseguenze sono ovviamente negative: ogni password potrebbe essere forzata", ha scritto il team di Donjon. "Ad esempio, ci sono 315619200 secondi tra il 2010 e il 2021, quindi KPM potrebbe generare al massimo 315619200 password per un determinato set di caratteri. Un attacco brute force richiede alcuni minuti."
Il problema è stato identificato con il codice CVE-2020-27020 e Kaspersky successivamente l'ha risolto, pubblicando anche un avviso ad aprile 2021 in cui raccomanda di installare gli ultimi aggiornamenti disponibili. Inoltre l'azienda, in una nota, ha dichiarato "Kaspersky ha risolto un problema di sicurezza in Kaspersky Password Manager, che avrebbe potuto permettere a un attaccante di scoprire le password generate da questo strumento. Questo problema avrebbe potuto verificarsi solo nell'improbabile eventualità che l’attaccante conoscesse le informazioni dell'account dell'utente e il momento esatto in cui era stata generata la password. Per rendere tutto ciò possibile l’utente preso di mira avrebbe anche dovuto ridurre il livello di complessità della password nelle impostazioni. L'azienda ha rilasciato un aggiornamento per correggere questa criticità e ha incorporato un meccanismo che notifica agli utenti se una specifica password generata dallo strumento può essere vulnerabile e deve essere cambiata.
Raccomandiamo ai nostri utenti di installare gli aggiornamenti più recenti. Per facilitare il processo di ricezione degli update, i prodotti di Kaspersky per utenti privati supportano gli aggiornamenti automatici."