Un logiciel PureVPN pour Windows est affecté par deux vulnérabilités qui entraînent une fuite des informations d’identification de l’utilisateur selon un chercheur en sécurité de Trustwave.
Selon Manuel Nader de Trustwave, ces bogues peuvent permettre à un attaquant local de récupérer le mot de passe stocké du dernier utilisateur qui s’est connecté avec succès au service PureVPN. L’attaque est effectuée directement via l’interface graphique (GUI), sans avoir besoin d’un autre outil. Pour que l’attaque fonctionne, le client PureVPN doit avoir une installation par défaut, l’attaquant doit avoir accès à tout compte d’utilisateur local et un utilisateur doit s’être connecté avec succès à PureVPN à l’aide du client sur une machine Windows.
Lors de la divulgation des informations d’identification d’un autre utilisateur dans un environnement multi-utilisateur, la machine Windows doit avoir plusieurs utilisateurs. Le chercheur en sécurité découvert que, dans la version 5.18.2.0 du client Windows PureVPN, le mot de passe de l’utilisateur est révélé dans la fenêtre de configuration de l’application. Pour récupérer le mot de passe, l’attaquant doit simplement ouvrir le client PureVPN, accéder à la fenêtre de configuration, ouvrir l’onglet “Profil utilisateur” et cliquer sur “Afficher le mot de passe”.
Le chercheur a également découvert que le client PureVPN pour Windows stockait les informations d’identification de connexion (nom d’utilisateur et mot de passe) en texte clair dans un fichier login.conf situé à l’emplacement ‘C: ProgramData purevpn config . De plus, tous les utilisateurs locaux ont la permission de lire ce fichier.
Ces failles ont été communiqués à PureVPN à la mi-août 2017. Un correctif a été publié en juin 2018. Il est conseillé aux utilisateurs de PureVPN sous Windows de mettre à jour vers la version 6.1.0 ou ultérieure. Toutefois, PureVPN a accepté les risques de divulgation du mot de passe dans la fenêtre de configuration du client selon Nader.
Commentaires
Enregistrer un commentaire