For anden gang i de seneste måneder har en sikkerhedsforsker opdaget en sårbarhed i den meget brugte KeePass open source password manager.
Denne påvirker KeePass 2.X-versioner til Windows, Linux og macOS og giver angribere en måde at hente et måls hovedadgangskode i klartekst fra et hukommelsesdump - selv når brugerens arbejdsområde er lukket.
Mens KeePass' vedligeholder har udviklet en rettelse til fejlen, bliver den ikke almindelig tilgængelig før udgivelsen af version 2.54 (sandsynligvis i begyndelsen af juni). I mellemtiden blev forskeren, der opdagede sårbarheden - sporet som CVE-2023-32784 - har allerede udgivet et proof-of-concept for det på GitHub.
"Ingen kodeudførelse på målsystemet er påkrævet, kun et hukommelsesdump," sagde sikkerhedsforskeren "vdhoney" på GitHub. "Det er lige meget, hvor hukommelsen kommer fra - kan være procesdumpen, swap-filen (pagefile.sys), dvalefilen (hiberfil.sys) eller RAM-dumpen af hele systemet."
En angriber kan hente hovedadgangskoden, selvom den lokale bruger har låst arbejdsområdet, og selv efter at KeePass ikke længere kører, sagde forskeren.
Vdhoney beskrev sårbarheden som en, som kun en hacker med læseadgang til værtens filsystem eller RAM ville være i stand til at udnytte. Ofte kræver det dog ikke, at en hacker har fysisk adgang til et system. Fjernangribere får rutinemæssigt sådan adgang i disse dage via sårbarhedsudnyttelse, phishing-angreb, fjernadgang-trojanske heste og andre metoder.
"Medmindre du forventer at blive specifikt målrettet af en sofistikeret person, ville jeg bevare roen," tilføjede forskeren.
Vdhoney sagde, at sårbarheden havde at gøre med, hvordan en KeyPass brugerdefineret boks til at indtaste adgangskoder kaldet "SecureTextBoxEx" behandler brugerinput. Når brugeren indtaster en adgangskode, er der rester af strenge, der tillader en angriber at samle adgangskoden igen i klartekst, sagde forskeren. "For eksempel, når 'Adgangskode' indtastes, vil det resultere i disse resterende strenge: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d."
Patch i begyndelsen af juni
I en diskussionstråd på SourceForge, anerkendte KeePass-vedligeholder Dominik Reichl problemet og sagde, at han havde implementeret to forbedringer til adgangskodemanageren for at løse problemet.
Forbedringerne vil blive inkluderet i den næste KeePass-udgivelse (2.54) sammen med andre sikkerhedsrelaterede funktioner, sagde Reichel. Han indikerede oprindeligt, at det ville ske engang i de næste to måneder, men reviderede senere den estimerede leveringsdato for den nye version til begyndelsen af juni.
"For at præcisere, 'inden for de næste to måneder' var ment som en øvre grænse," sagde Reichl. "Et realistisk estimat for KeePass 2.54-udgivelsen er sandsynligvis 'i begyndelsen af juni' (dvs. 2-3 uger), men det kan jeg ikke garantere."
Spørgsmål om Password Manager-sikkerhed
For KeePass-brugere er det anden gang inden for de seneste måneder, at forskere har afsløret et sikkerhedsproblem med softwaren. I februar forsker Alex Hernandez viste, hvordan en angriber med skriveadgang til KeePass' XML-konfigurationsfil kunne redigere den på en måde, så den henter klartekstadgangskoder fra adgangskodedatabasen og eksporterer den lydløst til en angriberstyret server.
Selvom sårbarheden blev tildelt en formel identifikator (CVE-2023-24055), KeepPass selv anfægtede den beskrivelse og vedligeholdes, er password manager ikke designet til at modstå angreb fra nogen, der allerede har et højt adgangsniveau på en lokal pc.
"Ingen adgangskodeadministrator er sikker at bruge, når driftsmiljøet er kompromitteret af en ondsindet aktør," havde KeePass på det tidspunkt bemærket. "For de fleste brugere er en standardinstallation af KeePass sikker, når den kører på et rettidigt patchet, korrekt administreret og ansvarligt brugt Window-miljø."
Den nye KeyPass-sårbarhed vil sandsynligvis holde diskussionerne omkring adgangskodeadministratorens sikkerhed i live i længere tid. I de seneste måneder har der været adskillige hændelser, der har fremhævet sikkerhedsproblemer relateret til store password manager-teknologier. I december var der f.eks. LastPass afslørede en hændelse hvor en trusselsaktør ved hjælp af legitimationsoplysninger fra en tidligere indtrængen hos virksomheden fik adgang til kundedata gemt hos en tredjeparts cloud-tjenesteudbyder.
I januar, forskere hos Google advaret om adgangskodeadministratorer som Bitwarden, Dashlane og Safari Password Manager, der automatisk udfylder brugerlegitimationsoplysninger uden nogen tilskyndelse til sider, der ikke er tillid til.
Trusselaktører har i mellemtiden øget angreb mod adgangskodehåndteringsprodukter, sandsynligvis som følge af sådanne problemer.
I januar, Bitwarden og 1Password rapporterede at observere betalte annoncer i Googles søgeresultater, der dirigerede brugere, der åbnede annoncerne, til websteder for at downloade forfalskede versioner af deres adgangskodeadministratorer.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
- Kilde: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords
- :har
- :er
- :ikke
- :hvor
- $OP
- 7
- a
- I stand
- Om
- adgang
- af udleverede
- erkendte
- aktører
- tilføjet
- adresse
- annoncer
- Efter
- mod
- alex
- tillade
- sammen
- allerede
- an
- ,
- enhver
- ER
- omkring
- AS
- tildelt
- At
- Angreb
- til rådighed
- BE
- bliver
- Begyndelse
- Bound
- Boks
- men
- by
- kaldet
- CAN
- kan ikke
- lukket
- Cloud
- kode
- kommer
- selskab
- Kompromitteret
- Konfiguration
- kunne
- Legitimationsoplysninger
- skik
- kunde
- kundedata
- data
- Database
- Dato
- Dage
- december
- Standard
- levering
- beskrevet
- konstrueret
- udviklet
- opdaget
- diskussioner
- do
- gør
- dumpe
- e
- Tidligt
- forbedringer
- indtastning
- Hele
- Miljø
- skøn
- Endog
- eksempel
- udførelse
- forvente
- Exploit
- exploits
- eksport
- Funktionalitet
- februar
- File (Felt)
- Fix
- fejl
- Til
- formel
- fra
- Gevinst
- generelt
- GitHub
- giver
- Google Search
- garanti
- havde
- ske
- Have
- he
- Høj
- Fremhævet
- host
- Hvordan
- Men
- HTTPS
- i
- identifikator
- if
- implementeret
- in
- medtaget
- angivet
- i første omgang
- indgang
- installation
- instans
- ind
- spørgsmål
- spørgsmål
- IT
- selv
- januar
- jpg
- juni
- lige
- Holde
- senere
- sidesten
- Niveau
- Sandsynlig
- linux
- lokale
- låst
- længere
- MacOS
- større
- lykkedes
- leder
- Ledere
- måde
- Master
- Matter
- betød
- I mellemtiden
- Hukommelse
- metoder
- måned
- mere
- mest
- Ny
- næste
- NIST
- ingen
- bemærkede
- of
- tit
- on
- ONE
- kun
- åbent
- open source
- åbnet
- drift
- or
- Andet
- betalt
- Adgangskode
- Password Manager
- Nulstilling/ændring af adgangskoder
- PC
- Phishing
- phishing-angreb
- fysisk
- plato
- Platon Data Intelligence
- PlatoData
- tidligere
- sandsynligvis
- Problem
- behandle
- Processer
- Produkter
- korrekt
- udbyder
- RAM
- Læs
- realistisk
- nylige
- relaterede
- frigive
- fjern
- Remote Access
- rapporteret
- kræver
- påkrævet
- forsker
- forskere
- resultere
- Resultater
- rutinemæssigt
- kører
- s
- Safari
- sikker
- Said
- Søg
- Anden
- sikkerhed
- tjeneste
- Tjenesteudbyder
- flere
- Websteder
- Software
- nogle
- Nogen
- sofistikeret
- Kilde
- specifikt
- opbevaret
- sådan
- bytte
- SYS
- systemet
- mål
- målrettet
- Teknologier
- at
- deres
- Der.
- Disse
- tredjepart
- denne
- trussel
- tid
- til
- to
- typer
- afdækket
- indtil
- brug
- anvendte
- Bruger
- brugere
- ved brug af
- udgave
- via
- sårbarhed
- var
- Vej..
- uger
- hvornår
- WHO
- bredt
- vilje
- vinduer
- med
- inden for
- uden
- Vandt
- ville
- skriver
- X
- XML
- Du
- zephyrnet
