Το KeePass Vulnerability Imperils Master Passwords

Το KeePass Vulnerability Imperils Master Passwords

Χρονική σήμανση: 18 Μαΐου 2023 5:33 μ.μ.
Το KeePass Vulnerability Imperils Κύριοι κωδικοί πρόσβασης PlatoBlockchain Data Intelligence. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.

Για δεύτερη φορά τους τελευταίους μήνες, ένας ερευνητής ασφάλειας ανακάλυψε μια ευπάθεια στον ευρέως χρησιμοποιούμενο διαχειριστή κωδικών πρόσβασης ανοιχτού κώδικα KeePass.

Αυτό επηρεάζει τις εκδόσεις KeePass 2.X για Windows, Linux και macOS και δίνει στους εισβολείς έναν τρόπο να ανακτήσουν τον κύριο κωδικό πρόσβασης ενός στόχου σε καθαρό κείμενο από μια ένδειξη μνήμης — ακόμα και όταν ο χώρος εργασίας του χρήστη είναι κλειστός.

Ενώ ο συντηρητής του KeePass έχει αναπτύξει μια διόρθωση για το ελάττωμα, δεν θα είναι γενικά διαθέσιμο μέχρι την κυκλοφορία της έκδοσης 2.54 (πιθανότατα στις αρχές Ιουνίου). Εν τω μεταξύ, ο ερευνητής που ανακάλυψε την ευπάθεια — παρακολουθήθηκε ως CVE-2023-32784 - έχει ήδη κυκλοφόρησε μια απόδειξη της ιδέας για αυτό στο GitHub.

«Δεν απαιτείται εκτέλεση κώδικα στο σύστημα προορισμού, μόνο μια ένδειξη μνήμης», δήλωσε ο ερευνητής ασφαλείας «vdhoney» στο GitHub. "Δεν έχει σημασία από πού προέρχεται η μνήμη - μπορεί να είναι η ένδειξη επεξεργασίας, το αρχείο ανταλλαγής (pagefile.sys), το αρχείο αδρανοποίησης (hiberfil.sys) ή η ένδειξη μνήμης RAM ολόκληρου του συστήματος."

Ένας εισβολέας μπορεί να ανακτήσει τον κύριο κωδικό πρόσβασης ακόμη και αν ο τοπικός χρήστης έχει κλειδώσει τον χώρο εργασίας και ακόμη και όταν το KeePass δεν εκτελείται πλέον, είπε ο ερευνητής.

Ο Vdhoney περιέγραψε την ευπάθεια ως ευπάθεια που μόνο ένας εισβολέας με πρόσβαση ανάγνωσης στο σύστημα αρχείων ή στη μνήμη RAM του κεντρικού υπολογιστή θα μπορούσε να εκμεταλλευτεί. Συχνά, ωστόσο, αυτό δεν απαιτεί από έναν εισβολέα να έχει φυσική πρόσβαση σε ένα σύστημα. Οι απομακρυσμένοι εισβολείς αποκτούν συνήθως τέτοια πρόσβαση αυτές τις μέρες μέσω εκμεταλλεύσεων ευπάθειας, επιθέσεων phishing, Trojans απομακρυσμένης πρόσβασης και άλλων μεθόδων.

«Εκτός και αν περιμένεις να στοχοποιηθείς συγκεκριμένα από κάποιον εκλεπτυσμένο, θα παραμείνω ήρεμος», πρόσθεσε ο ερευνητής.

Ο Vdhoney είπε ότι η ευπάθεια είχε να κάνει με τον τρόπο με τον οποίο ένα προσαρμοσμένο πλαίσιο KeyPass για την εισαγωγή κωδικών πρόσβασης που ονομάζεται "SecureTextBoxEx" επεξεργάζεται την είσοδο του χρήστη. Όταν ο χρήστης πληκτρολογεί έναν κωδικό πρόσβασης, υπάρχουν υπόλοιπες συμβολοσειρές που επιτρέπουν σε έναν εισβολέα να συναρμολογήσει ξανά τον κωδικό πρόσβασης σε καθαρό κείμενο, είπε ο ερευνητής. "Για παράδειγμα, όταν πληκτρολογείτε "Κωδικός πρόσβασης", θα προκύψουν αυτές οι υπόλοιπες συμβολοσειρές: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d."

Patch στις αρχές Ιουνίου

Σε νήμα συζήτησης στο SourceForge, ο συντηρητής του KeePass Dominik Reichl αναγνώρισε το πρόβλημα και είπε ότι είχε εφαρμόσει δύο βελτιώσεις στη διαχείριση κωδικών πρόσβασης για την αντιμετώπιση του προβλήματος.

Οι βελτιώσεις θα συμπεριληφθούν στην επόμενη έκδοση του KeePass (2.54), μαζί με άλλες λειτουργίες που σχετίζονται με την ασφάλεια, είπε ο Reichel. Αρχικά ανέφερε ότι αυτό θα συμβεί κάποια στιγμή μέσα στους επόμενους δύο μήνες, αλλά αργότερα αναθεώρησε την εκτιμώμενη ημερομηνία παράδοσης για τη νέα έκδοση έως τις αρχές Ιουνίου.

«Για να διευκρινίσουμε, το «μέσα στους επόμενους δύο μήνες» προοριζόταν ως ανώτατο όριο», είπε ο Ράιχλ. «Μια ρεαλιστική εκτίμηση για την κυκλοφορία του KeePass 2.54 είναι πιθανώς «στις αρχές Ιουνίου» (δηλαδή 2-3 εβδομάδες), αλλά δεν μπορώ να το εγγυηθώ».

Ερωτήσεις σχετικά με την ασφάλεια του Password Manager

Για τους χρήστες του KeePass, αυτή είναι η δεύτερη φορά τους τελευταίους μήνες που οι ερευνητές ανακάλυψαν ένα ζήτημα ασφαλείας με το λογισμικό. Τον Φεβρουάριο, ο ερευνητής Alex Hernandez έδειξε πώς ένας επιθετικός με πρόσβαση εγγραφής στο αρχείο διαμόρφωσης XML του KeePass θα μπορούσε να το επεξεργαστεί με τρόπο που να ανακτά κωδικούς πρόσβασης καθαρού κειμένου από τη βάση δεδομένων κωδικών πρόσβασης και να τον εξάγει σιωπηλά σε έναν διακομιστή που ελέγχεται από τους εισβολείς.

Αν και η ευπάθεια έλαβε ένα επίσημο αναγνωριστικό (CVE-2023-24055), το ίδιο το KeePass αμφισβήτησε αυτή την περιγραφή και διατηρείται ο διαχειριστής κωδικών πρόσβασης δεν έχει σχεδιαστεί για να αντέχει τις επιθέσεις από κάποιον που έχει ήδη υψηλό επίπεδο πρόσβασης σε έναν τοπικό υπολογιστή.

"Κανένας διαχειριστής κωδικών πρόσβασης δεν είναι ασφαλής στη χρήση όταν το λειτουργικό περιβάλλον παραβιάζεται από κακόβουλο παράγοντα", είχε σημειώσει τότε το KeePass. "Για τους περισσότερους χρήστες, μια προεπιλεγμένη εγκατάσταση του KeePass είναι ασφαλής όταν εκτελείται σε ένα έγκαιρα διορθωμένο, σωστά διαχειριζόμενο και υπεύθυνα χρησιμοποιούμενο περιβάλλον Window."

Η νέα ευπάθεια του KeyPass είναι πιθανό να κρατήσει ζωντανές τις συζητήσεις γύρω από την ασφάλεια του διαχειριστή κωδικών πρόσβασης για λίγο ακόμα. Τους τελευταίους μήνες, υπήρξαν αρκετά περιστατικά που έχουν επισημάνει ζητήματα ασφάλειας που σχετίζονται με σημαντικές τεχνολογίες διαχείρισης κωδικών πρόσβασης. Τον Δεκέμβριο, για παράδειγμα, Το LastPass αποκάλυψε ένα περιστατικό όπου ένας παράγοντας απειλής, χρησιμοποιώντας διαπιστευτήρια από προηγούμενη εισβολή στην εταιρεία, είχε πρόσβαση σε δεδομένα πελατών που ήταν αποθηκευμένα σε τρίτο πάροχο υπηρεσιών cloud.

Τον Ιανουάριο, ερευνητές στο Google προειδοποίησε σχετικά με τους διαχειριστές κωδικών πρόσβασης, όπως τα Bitwarden, Dashlane και Safari Password Manager που συμπληρώνουν αυτόματα τα διαπιστευτήρια χρήστη χωρίς καμία προτροπή σε μη αξιόπιστες σελίδες.

Οι φορείς απειλών εν τω μεταξύ έχουν εντείνει τις επιθέσεις εναντίον προϊόντων διαχείρισης κωδικών πρόσβασης, πιθανότατα ως αποτέλεσμα τέτοιων ζητημάτων.

Τον Ιανουάριο, Οι Bitwarden και 1Password ανέφεραν ότι παρατήρησαν πληρωμένες διαφημίσεις στα αποτελέσματα αναζήτησης Google που κατευθύνουν τους χρήστες που άνοιγαν τις διαφημίσεις σε ιστότοπους για λήψη πλαστών εκδόσεων των διαχειριστών κωδικών πρόσβασης.

Σφραγίδα ώρας:

Περισσότερα από Σκοτεινή ανάγνωση