Yubico выпускает предупреждение о безопасности для пользователей Windows YubiKey
Когда дело доходит до аутентификации пользователя, существует множество вариантов: от паролей на более слабом конце спектра безопасности до аппаратных ключей на другом конце. Но что, если используемый вами аппаратный ключ безопасности может подвергнуть атаку вашу операционную систему? Yubico, охранная компания, разрабатывающая семейство продуктов YubiKey, выпустила предупреждение по безопасности об этом сценарии для пользователей Windows.
Yubico по праву считается производителем одного из самых безопасных продуктов аутентификации в линейке аппаратных ключей безопасности YubiKey. Если нужны доказательства, просто посмотрите Страница консультации по безопасности Yubico Записи относятся к последним трем годам, ни одна из них не указана за 2022 год, одна за 2023 год и одна за 2024 год. Именно последнее влияет на пользователей Windows, но не на тех, кто использует Edge в качестве предпочтительного клиента веб-браузера.
Юбико Консультации по безопасности YSA-2024-01 Программное обеспечение YubiKey Manager содержит уязвимость, которая может привести к атаке с повышением привилегий для пользователей Windows. Уязвимость указана как CVE-2024-31498 Он имеет рейтинг общей системы оценки уязвимостей 7,7, что означает, что это проблема с высоким уровнем риска, а не критическая проблема.
«Если пользователь запускает графический интерфейс YubiKey Manager от имени администратора, могут быть открыты окна браузера, которые графический интерфейс YubiKey Manager открыт от имени администратора, что может быть использовано локальным злоумышленником для выполнения действий от имени администратора», — говорит Юбико. Если это звучит тревожно, то это потому, что так оно и есть. Злоумышленник, которому уже необходим локальный доступ к рассматриваемому компьютеру с Windows, может использовать это повышение привилегий для дальнейшего компрометации этой системы. «Злоумышленник может использовать эту проблему для эскалации локальных атак и усиления воздействия атак через браузер», — предупреждает Юбико.
CVE-2024-31498 затрагивает версии YubiKey Manager до версии 1.2.6 и пользователей Windows, которые не используют Edge в качестве браузера по умолчанию. Юбико объясняет, что это затрагивает только пользователей Windows, поскольку операционной системе требуются права администратора для взаимодействия с инструментами аутентификации FIDO, такими как YubiKey. В других операционных системах этот уровень повышенных разрешений не требуется. Поэтому пользователям Windows рекомендуется щелкнуть меню «О программе» и проверить, какую версию они используют. Все, что раньше 1.2.6, должно быть соответствующим образом обновлено. Это может быть последняя версия YubiKey Manager. Скачано прямо с сайта Yubico. или github.
Fast Identity Online Alliance — это открытый стандарт аутентификации, который в форме FIDO2 может обеспечивать, среди прочего, однофакторную аутентификацию без пароля, а также варианты двухфакторной и многофакторной аутентификации. Yubico советует пользователям не заказывать Особенности Фидо Вам не нужно запускать графический интерфейс YubiKey Manager от имени пользователя с повышенными привилегиями. Пользователи Windows также могут настроить Microsoft Edge в качестве веб-браузера по умолчанию, поскольку это уже включает средства защиты, предотвращающие наследование разрешений администратора при запуске способом, который обеспечивается этой уязвимостью. Однако я не рекомендую переходить на Edge из вашего любимого браузера; Вместо этого следуйте по маршруту обновления программного обеспечения, и тогда оно не понадобится.
