ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → Windows PureVPN客户端用户凭证数据泄露漏洞

Windows PureVPN客户端用户凭证数据泄露漏洞

时间:2018-10-01 00:00:00人气:作者:本站作者我要评论

Windows PureVPN客户端用户凭证数据泄露漏洞

Trustwave专家发现,用于Windows的PureVPN客户端受到两个可能导致凭据泄露的漏洞的影响。
来自Trustwave的专家ManuelNader在针对Windows的PureVPN客户端中发现了两个漏洞,可被本地攻击者利用来访问成功登录PureVPN服务的最后一个用户的存储密码。

该攻击适用于使用PureVPN客户端和默认安装的用户,它直接通过图形用户界面启动。

专家们根据以下假设和条件测试了这些缺陷:

PureVPN客户端具有默认安装。
攻击者可以访问任何本地用户帐户。
有人在任何时间点使用Windows计算机上的客户端成功登录到PureVPN。
在多用户环境中公开其他用户凭据的情况下,Windows计算机具有多个用户。
Nader发现在PureVPNWindows客户端的配置窗口中可以看到用户密码,该问题会影响版本5.18.2.0。

要访问密码,攻击者只需打开配置窗口,打开用户配置文件选项卡,然后单击显示密码。

PureVPN提供的PureVPNWindows客户端可能允许本地攻击者检索成功登录PureVPN服务的最后一个用户的存储密码。因此,当Windows机器有多个用户(如果他们已成功登录)时,本地攻击者可能会获得另一个用户的PureVPN凭据。陈述了Trustwave发布的咨询。

攻击完全通过GUI(图形用户界面)完成,不需要使用外部工具。

Nader还发现,用于Windows的PureVPN客户端以明文形式将登录凭据存储在路径为

C:\ProgramData\purevpn\config\login.conf 文件中。

研究人员发现任何本地用户都有权读取此文件。

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网