Pandora: extraer credenciales de gestores de contraseñas

 Pandora es una herramienta que ayuda a extraer y recopilar credenciales de diferentes administradores de contraseñas. Se dividen en tres categorías: aplicaciones de escritorio de Windows 10, navegadores y complementos de navegador.

En esta versión (v0.5), la herramienta admite 14 administradores de contraseñas, con 18 implementaciones diferentes (por ejemplo, la herramienta podría volcar credenciales desde la aplicación de escritorio o el complemento del navegador del mismo producto). Específicamente, en la mayoría de los casos, los administradores de contraseñas deben estar activos y desbloqueados para que la herramienta funcione.

Entonces, el propósito de esta herramienta es proporcionar un vector de ataque adicional en las interacciones de un Red Team, ya que muchos usuarios utilizan administradores de contraseñas. Se han subido tres videos para ayudar a comprender cómo funciona esta herramienta. 

Este no es un concepto completamente nuevo. Es bien sabido desde hace algún tiempo que no existe una forma de facto de proteger las aplicaciones de escritorio contra este tipo de ataques. Sin embargo, esta es la primera vez que una herramienta de este tipo se presenta al público.

Con respecto a solucionar estos problemas, la mayoría de los proveedores respondieron que dichos problemas están fuera de su alcance ya que el atacante necesita acceso local o el AV/EDR debería proteger al usuario contra tales ataques. Aunque algunos productos pueden ofrecer soluciones, sus exploits se publicarán más adelante (aún están en fase de divulgación).

Cabe señalar que hubo algunos casos como KeePass, StickyPassword y Opera en los que no se encontró que las credenciales fueran texto sin cifrar dentro de la memoria. Es posible que esto funcione en otros sistemas operativos, como Linux, pero aún no se ha probado.

 Fuente: SeguInfo

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS