Эксперты компании PT SWARM — Алексей Писаренко, Алексей Соловьев и Олег Сурнин, нашли и исправили шесть проблем в программе для хранения паролей Passwork. Если злоумышленники использовали бы эти проблемы, они могли бы потерять доступ к паролям. Passwork — это программа, которую используют большие российские компании, такие как банки, строительные и промышленные компании. Разработчики Passwork выпустили обновленную версию программы после того, как эксперты сообщили им о найденных проблемах.
Найденные проблемы получили оценки от 5,8 до 8,1 баллов по шкале опасности. Они могли привести к утечке данных или изменению профиля пользователя без их ведома. Разработчики исправили проблемы в версии 6.4.3 программы, которая была выпущена 14 ноября 2024 года.
Один из экспертов, Олег Сурнин, рассказал о том, что одна из проблем могла позволить злоумышленникам получить доступ к файлам на сервере. Это могло привести к недоступности программы из-за удаления важных файлов. Существовала также угроза потери всех паролей пользователей, если атакующий смог бы изменить файл базы данных с паролями.
Алексей Соловьев отметил, что другие проблемы открывали возможность внедрения вредоносного кода в программу. Этот код мог исполняться в браузере от имени администратора. Также была обнаружена проблема, которая могла позволить атакующему использовать вредоносную ссылку для выполнения кода в браузере жертвы. В результате таких атак учетные записи администраторов и обычных пользователей Passwork могли быть скомпрометированы.
Опасности использования Passwork: утечка данных и потеря паролей
