Por Leandro Rocha
O pesquisador da Tempest Security Intelligence, Filipe Xavier, encontrou uma vulnerabilidade crítica no gerenciador de senhas Handy Password — software desenvolvido e mantido pela empresa russa Novosoft.
A falha foi encontrada na última versão do software (4.9.3) e permite que códigos sejam executados remotamente no computador do usuário possibilitando que o atacante obtenha controle total do dispositivo. Apesar da Novosoft comercializar o Handy Password, a sua última versão foi lançada em Maio de 2011, e não recebeu atualizações desde então. Além disso, o software não está homologado para a versão mais recente do Windows.
O Handy Password permite o armazenamento de credenciais e informações pessoais dos usuários para que, quando solicitadas por sites, sejam preenchidas automaticamente. Além disso, ele possibilita armazenar o arquivo de senhas em um servidor remoto, permitindo que o usuário tenha acesso às credenciais salvas a partir de qualquer computador com o software instalado.
A falha encontrada pelo pesquisador da Tempest afeta um recurso chamado “Open from mail box” que permite ao usuário acessar suas credenciais a partir de um servidor de email remoto. Com o recurso o usuário faz o download do arquivo de senhas para seu computador para importá-lo localmente; no entanto, descobriu-se que o Handy Password não valida a quantidade de caracteres inseridos no campo “Title name” do arquivo no momento da sua importação.
Um atacante poderia manipular esse arquivo inserindo uma combinação específica de caracteres no campo “Title name” de modo a causar um buffer overflow e assim criar condições para o envio remoto de comandos no computador do usuário. Em outro cenário possível o atacante enviaria um arquivo falso, que seria interpretado pelo Handy Password causando o problema.
O Handy Password está disponível apenas para Windows nas versões 2000, XP, 2003, Vista e 7. Apesar da Novosoft não divulgar a quantidade de usuários do sofware, uma estimativa realizada com base em uma pesquisa em sites que disponibilizam o Handy Password na versão 4.9.3 para download retornou aproximadamente 20 mil usuários.
A Tempest informou a Novosoft sobre a vulnerabilidade no dia 19 de outubro de 2017 e, posteriormente, tentou novo contato em novembro. A Novosoft não se manifestou em nenhum dos contatos.
Em dezembro de 2017 a falha foi catalogada como CVE-2017–17946.
O Grupo Novosoft foi fundado em 1992 e, segundo seu material de marketing, é “um dos principais fornecedores de soluções de tecnologia integrada e serviços de desenvolvimento de software personalizado”. A empresa também afirma que foi classificada pelo Gartner como uma das cinco principais empresas russas de desenvolvimento, e tem como clientes a IBM, a Samsung América e o Departamento de Energia dos EUA.