2min Security

Kaspersky fixt na bijna twee jaar kwetsbaarheid in password manager

Kaspersky Lab heeft een kwetsbaarheid in de Windows-versie van zijn tool voor het genereren van grote hoeveelheden wachtwoorden, Kaspersky Passsword Manager (KPM), na bijna twee jaar volledig gerepareerd en gepubliceerd. Dit blijkt uit een recente blogpost van de securityspecialist.

Bedrijven kunnen met password generator tools in korte tijd veel wachtwoorden aanmaken. De KPM tool van securityspecialist Kaspersky Lab gebruikt hiervoor een complexe methode voor het genereren van deze wachtwoorden, waardoor deze moeilijk te kraken zijn door standaard hacktools als ‘password crackers’.

Kwetsbare tijdstipversleuteling

In oktober 2019 bleek echter dat door de tool van Kaspersky Lab gebruikte complexe methode een kwetsbaarheid vertoonde, zo geeft de securityspecialist nu in een blogpost aan. Concreet verzwakte de gebruikte methode om wachtwoorden te creëren de sterkte van deze wachtwoorden tegenover specialistische tools van hackers. De interne structuur van de methode bleek niet geschikt voor het genereren van versleuteld materiaal.

Vooral ging het daarbij over de informatie over het exacte tijdstip waarop een wachtwoord was aangemaakt. Deze informatie gaf onversleuteld het juiste tijdstip aan in seconden. Dit had tot gevolg dat ieder wachtwoord dat door kwetsbare Windows-versies van KPM -alle versies voor versie 9.0.2 Patch F- werd gegenereerd via brute force-aanvallen in minuten of seconden viel te kraken.

Lang disclosure-proces

Kaspersky Lab werd al in juni 2019 op de hoogte gebracht van deze kwetsbaarheid en een fix werd in de maand oktober van dat jaar uitgebracht. Pas in oktober 2020 werden eindgebruikers van de Windows-versie van KPM op de hoogte gebracht dat zij bepaalde wachtwoorden opnieuw moesten genereren. Eind april van dit jaar kwam de securityspecialist pas met de uiteindelijke security advisory. Pas vanaf mei dit jaar is de hele achtergrond van de kwetsbaarheid als een CVE-advies gepubliceerd.

Kaspersky geeft geen reden aan voor dit langdurige proces. In ieder geval kunnen eindgebruikers van KPM er nu vanuit gaan dat met Windows-versie Kaspersky Password Manager 9.0.2 Patch M alle mogelijke kwetsbaarheden, ook in de mobiele versie van de tool, zijn gedicht.