للمرة الثانية في الأشهر الأخيرة ، اكتشف باحث أمني ثغرة أمنية في مدير كلمات المرور مفتوح المصدر KeePass المستخدم على نطاق واسع.
يؤثر هذا على إصدارات KeePass 2.X لأنظمة التشغيل Windows و Linux و macOS ، ويمنح المهاجمين طريقة لاسترداد كلمة المرور الرئيسية للهدف بنص واضح من تفريغ الذاكرة - حتى عندما تكون مساحة عمل المستخدم مغلقة.
بينما طور مشرف KeePass إصلاحًا للعيب ، فلن يصبح متاحًا بشكل عام حتى إصدار الإصدار 2.54 (على الأرجح في أوائل يونيو). وفي الوقت نفسه ، الباحث الذي اكتشف الثغرة الأمنية - تعقبها CVE-2023-32784 - بالفعل أصدر إثباتًا للمفهوم لها على جيثب.
قال الباحث الأمني "vdhoney" على GitHub: "لا يلزم تنفيذ كود على النظام الهدف ، مجرد تفريغ ذاكرة". "لا يهم من أين تأتي الذاكرة - يمكن أن يكون تفريغ العملية أو ملف المبادلة (pagefile.sys) أو ملف الإسبات (hiberfil.sys) أو تفريغ ذاكرة الوصول العشوائي للنظام بأكمله."
قال الباحث إن المهاجم يمكنه استرداد كلمة المرور الرئيسية حتى إذا قام المستخدم المحلي بإغلاق مساحة العمل وحتى بعد توقف KeePass عن العمل.
وصف فدوني الثغرة الأمنية بأنها ثغرة لا يستطيع استغلالها سوى مهاجم لديه حق الوصول للقراءة إلى نظام ملفات المضيف أو ذاكرة الوصول العشوائي. ومع ذلك ، لا يتطلب ذلك في كثير من الأحيان أن يكون للمهاجم وصول مادي إلى النظام. يحصل المهاجمون عن بُعد بشكل روتيني على مثل هذا الوصول هذه الأيام من خلال عمليات استغلال الثغرات الأمنية وهجمات التصيد الاحتيالي وأحصنة طروادة للوصول عن بُعد وغيرها من الأساليب.
وأضاف الباحث: "ما لم تتوقع أن تكون مستهدفًا على وجه التحديد من قبل شخص متطور ، فسأظل هادئًا".
قال Vdhoney إن الثغرة الأمنية لها علاقة بكيفية قيام صندوق KeyPass المخصص لإدخال كلمات المرور المسمى "SecureTextBoxEx" بمعالجة مدخلات المستخدم. قال الباحث إنه عندما يكتب المستخدم كلمة مرور ، هناك سلاسل متبقية تسمح للمهاجم بإعادة تجميع كلمة المرور بنص واضح. "على سبيل المثال ، عند كتابة" كلمة المرور "، سينتج عن هذه السلاسل المتبقية: • a، •• s، ••• s، •••• w، ••••• o، •••••• بحث وتطوير."
التصحيح في أوائل يونيو
في باقة موضوع المناقشة على SourceForge، أقر دومينيك رايشل ، مشرف KeePass ، بالمشكلة وقال إنه أدخل تحسينين على مدير كلمات المرور لمعالجة المشكلة.
وقال رايشيل إنه سيتم تضمين التحسينات في الإصدار القادم من KeePass (2.54) ، إلى جانب الميزات الأخرى المتعلقة بالأمان. وأشار في البداية إلى أن ذلك سيحدث في وقت ما في الشهرين المقبلين ، لكنه راجع لاحقًا موعد التسليم التقديري للإصدار الجديد حتى أوائل يونيو.
قال رايشل: "للتوضيح ، كان المقصود أن تكون عبارة" خلال الشهرين المقبلين "هي الحد الأعلى". "من المحتمل أن يكون التقدير الواقعي لإصدار KeePass 2.54" في بداية يونيو "(أي 2-3 أسابيع) ، لكن لا يمكنني ضمان ذلك."
أسئلة حول أمان مدير كلمة المرور
بالنسبة لمستخدمي KeePass ، هذه هي المرة الثانية في الأشهر الأخيرة التي يكشف فيها الباحثون عن مشكلة أمنية في البرنامج. في فبراير ، الباحث أليكس هيرنانديز أظهر كيف مهاجم من خلال حق الوصول للكتابة إلى ملف تكوين XML الخاص بـ KeePass ، يمكن تحريره بطريقة لاسترداد كلمات مرور النص الواضح من قاعدة بيانات كلمات المرور وتصديرها بصمت إلى خادم يتحكم فيه المهاجم.
على الرغم من أنه تم تعيين معرّف رسمي للثغرة الأمنية (CVE-2023-24055) ، KeePass نفسها عارضت هذا الوصف وصيانته ، لم يتم تصميم مدير كلمات المرور لمقاومة الهجمات من شخص لديه بالفعل مستوى عالٍ من الوصول على جهاز كمبيوتر محلي.
أشار KeePass في ذلك الوقت إلى أنه "لا يوجد مدير كلمات مرور آمن للاستخدام عندما يتم اختراق بيئة التشغيل من قبل جهة فاعلة ضارة". "بالنسبة إلى معظم المستخدمين ، يكون التثبيت الافتراضي لـ KeePass آمنًا عند التشغيل في بيئة Windows مصححة ومدارة بشكل صحيح ومستخدمة بشكل مسؤول."
من المحتمل أن تؤدي ثغرة KeyPass الجديدة إلى استمرار المناقشات حول أمان مدير كلمات المرور لبعض الوقت. في الأشهر الأخيرة ، كان هناك العديد من الحوادث التي سلطت الضوء على مشكلات الأمان المتعلقة بتقنيات إدارة كلمات المرور الرئيسية. في ديسمبر ، على سبيل المثال ، كشف LastPass عن حادث حيث قام أحد الفاعلين بالتهديد ، باستخدام بيانات اعتماد من تدخل سابق في الشركة ، بالوصول إلى بيانات العميل المخزنة مع مزود خدمة سحابية تابع لجهة خارجية.
في يناير، الباحثين في جوجل حذر من مديري كلمات المرور مثل Bitwarden و Dashlane و Safari Password Manager الذين يملئون تلقائيًا بيانات اعتماد المستخدم دون أي مطالبات في صفحات غير موثوق بها.
في غضون ذلك ، كثف ممثلو التهديدات الهجمات ضد منتجات إدارة كلمات المرور ، على الأرجح نتيجة لمثل هذه المشكلات.
في يناير، أبلغت Bitwarden و 1Password عن المراقبة الإعلانات المدفوعة في نتائج بحث Google والتي وجهت المستخدمين الذين فتحوا الإعلانات إلى مواقع لتنزيل إصدارات مخادعة من مديري كلمات المرور الخاصة بهم.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 7
- a
- ماهرون
- من نحن
- الوصول
- الوصول
- واعترف
- الجهات الفاعلة
- وأضاف
- العنوان
- بعد
- ضد
- اليكس
- السماح
- على طول
- سابقا
- an
- و
- أي وقت
- هي
- حول
- AS
- تعيين
- At
- الهجمات
- متاح
- BE
- أصبح
- البداية
- مقيد
- صندوق
- لكن
- by
- تسمى
- CAN
- لا تستطيع
- صندوق توظيف برأس مال محدود
- سحابة
- الكود
- يأتي
- حول الشركة
- تسوية
- الاعداد
- استطاع
- أوراق اعتماد
- على
- زبون
- بيانات العميل
- البيانات
- قاعدة البيانات
- التاريخ
- أيام
- ديسمبر
- الترتيب
- التوصيل
- وصف
- تصميم
- المتقدمة
- اكتشف
- مناقشات
- do
- هل
- تفريغ
- e
- في وقت مبكر
- التحسينات
- الدخول
- كامل
- البيئة
- تقدير
- حتى
- مثال
- توقع
- استغلال
- مآثر
- تصدير
- المميزات
- فبراير
- قم بتقديم
- حل
- عيب
- في حالة
- رسمي
- تبدأ من
- ربح
- على العموم
- GitHub جيثب:
- يعطي
- شراء مراجعات جوجل
- Google بحث
- ضمان
- كان
- يحدث
- يملك
- he
- مرتفع
- سلط الضوء
- مضيف
- كيفية
- لكن
- HTTPS
- i
- معرف
- if
- نفذت
- in
- شامل
- وأشار
- في البداية
- إدخال
- التركيب
- مثل
- إلى
- قضية
- مسائل
- IT
- نفسها
- يناير
- JPG
- يونيو
- م
- احتفظ
- الى وقت لاحق
- بقايا
- مستوى
- على الأرجح
- لينكس
- محلي
- مقفل
- يعد
- ماك
- رائد
- تمكن
- مدير
- مديرو
- أسلوب
- رئيسي
- أمر
- يعني
- في غضون
- مكبر الصوت : يدعم، مع دعم ميكروفون مدمج لمنع الضوضاء
- طرق
- المقبلة.
- الأكثر من ذلك
- أكثر
- جديد
- التالي
- نيست
- لا
- وأشار
- of
- غالبا
- on
- ONE
- فقط
- جاكيت
- المصدر المفتوح
- افتتح
- تعمل
- or
- أخرى
- مدفوع
- كلمة المرور
- إدارة كلمة المرور
- كلمات السر
- PC
- التصيد
- هجمات التصيد
- مادي
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سابق
- المحتمل
- المشكلة
- عملية المعالجة
- العمليات
- المنتجات
- بصورة صحيحة
- مزود
- رامات
- عرض
- واقعي
- الأخيرة
- ذات صلة
- الافراج عن
- عن بعد
- الوصول عن بعد
- وذكرت
- تطلب
- مطلوب
- الباحث
- الباحثين
- نتيجة
- النتائج
- بصورة روتينية
- تشغيل
- s
- سفاري
- خزنة
- قال
- بحث
- الثاني
- أمن
- الخدمة
- مقدم الخدمة
- عدة
- المواقع
- تطبيقات الكمبيوتر
- بعض
- شخص ما
- متطور
- مصدر
- على وجه التحديد
- تخزين
- هذه
- مقايضة
- SYS
- نظام
- الهدف
- المستهدفة
- التكنولوجيا
- أن
- •
- من مشاركة
- هناك.
- تشبه
- طرف ثالث
- التهديد
- الوقت
- إلى
- اثنان
- أنواع
- كشف
- حتى
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- الإصدار
- بواسطة
- الضعف
- وكان
- طريق..
- أسابيع
- متى
- من الذى
- على نحو واسع
- سوف
- نوافذ
- مع
- في غضون
- بدون
- وون
- سوف
- اكتب
- X
- XML
- أنت
- زفيرنت