Дослідник безпеки з команди Google Project Zero Тевіс Орманді (Tavis Ormandy) виявив у Windows 10 встановлений сторонній менеджер паролів Keeper, що дозволяє віддалено викрадати облікові дані, що зберігаються в ньому.

Починаючи з Windows 10 Anniversary Update (версія 1607), Microsoft додала до своєї ОС нову функцію під назвою Content Delivery Manager. Функція автоматично встановлює на комп'ютері «пропоновані програми» без дозволу користувачів.

Менеджер паролів Keeper був завантажений на ПК Орманді з Microsoft Developer Network. Дізнавшись, що сторонні програми тепер встановлюються за умовчанням, дослідник вирішив протестувати Keeper на наявність уразливостей. Незабаром він виявив уразливість, що дозволяє «цілком скомпрометувати безпеку Keeper і надає будь-яким сайтам можливість викрадати будь-які паролі».

Виявлена ​​Орманді вразливість практично ідентична тій, яку дослідник виявив у невбудованій у Windows 10 версії менеджера ще у серпні 2016 року. «Я перевірив, і виявилося, у новій версії вони роблять те саме. Думаю, з мого боку є великою щедрістю порахувати цю вразливість нової та почекати 90 днів до її розкриття. Я у прямому розумінні просто поміняв селектори, і атака знову працює», - повідомив дослідник.

Орманді випустив PoC-експлоїт, який дозволив йому викрасти з вбудованого в Windows 10 менеджера Keeper пароль для авторизації у Twitter. Дослідник повідомив розробникам додатки про свою знахідку, і в п'ятницю, 15 грудня, було випущено виправлену версію Keeper 1.4.