SANS Instituteは7月3日(米国時間)、「Month of PowerShell: Abusing Get-Clipboard|SANS Institute」において、PowerShellのワンライナーでパスワードマネージャの扱うパスワードを取り出す方法を紹介した。パスワードマネージャ自体は堅牢に組み上げられていたとしても、使っている間であれば簡単にパスワードを得ることができるという。
記事で取り上げられているPowerShellワンライナーは次のとおり。
$x=""; while($true) { $y=get-clipboard -raw; if ($x -ne $y) { Write-Host $y; $x=$y } ; Sleep 1 }
パスワードマネージャはマスターパスワードを覚えておけば(マスターパスワードを生体認証にできるものもある)、他のパスワードを覚えておく必要なく管理できるという特徴がある。ほとんどのユーザーが同じユーザー名とパスワードを使い回していることから、セキュリティ当局やセキュリティベンダーはパスワードマネージャを使用してユニークなパスワードを使うことを推奨することが多い。
パスワードマネージャはパスワードを管理するのみならず、Webブラウザやアプリケーションへパスワードの自動入力を行う機能も提供している。今回、SANS Instituteはパスワードの自動入力を行う際はシステムクリップボードが使われていると指摘。PowerShellのワンライナーでシステムクリップボードの中身を監視することで、パスワードマネージャがパスワードをシステムクリップボードにコピーした段階でパスワードを取り出すことに成功することを示している。
パスワードマネージャは数分後にシステムクリップボードからパスワードを削除するとしているが、その間はシステムに侵入しているサイバーアクターによって簡単にパスワードが窃取されることになる。システムクリップボードを悪用するサイバー攻撃は新しいものではなく、多くのプラットフォームにおいて以前から存在している。
SANS Instituteの記事は、システムクリップボートはほとんどのオペレーティングシステムにおいて弱点となることを認識するとともに、それに応じたインシデント対応を行うことの重要性を指摘している。