KeePassi haavatavus viitab peaparoolidele

Teist korda viimaste kuude jooksul on turvateadlane avastanud laialdaselt kasutatavas KeePassi avatud lähtekoodiga paroolihalduris haavatavuse.

See mõjutab KeePass 2.X versioone Windowsi, Linuxi ja macOS-i jaoks ning annab ründajatele võimaluse hankida sihtmärgi peaparool selge tekstina mäluväljast – isegi siis, kui kasutaja tööruum on suletud.

Kuigi KeePassi hooldaja on vea jaoks välja töötanud paranduse, ei muutu see üldiselt kättesaadavaks enne versiooni 2.54 väljalaskmist (tõenäoliselt juuni alguses). Samal ajal jälgis haavatavuse avastanud teadlane kui CVE-2023-32784 — juba on avaldas kontseptsiooni tõendi selle jaoks GitHubis.

"Sihtsüsteemis pole vaja koodi käivitada, vaid mälu tõmme," ütles turvateadlane "vdhoney" GitHubis. "Pole tähtis, kust mälu pärineb – see võib olla protsessi tõmmis, vahetusfail (pagefile.sys), talveunefail (hiberfil.sys) või kogu süsteemi RAM-i tõmmis."

Ründaja saab peaparooli hankida isegi siis, kui kohalik kasutaja on tööruumi lukustanud ja isegi pärast seda, kui KeePass enam ei tööta, ütles teadlane.

Vdhoney kirjeldas haavatavust kui sellist, mida saaks ära kasutada ainult ründaja, kellel on lugemisjuurdepääs hosti failisüsteemile või RAM-ile. Sageli ei nõua see aga ründajalt füüsilist juurdepääsu süsteemile. Kaugründajad saavad tänapäeval sellise juurdepääsu tavaliselt haavatavuse ärakasutamise, andmepüügirünnakute, kaugjuurdepääsu troojalaste ja muude meetodite kaudu.

"Kui te ei oota, et teid sihiks keegi kogenud, jään rahulikuks," lisas teadlane.

Vdhoney ütles, et haavatavus oli seotud sellega, kuidas paroolide sisestamise kohandatud KeyPassi kast "SecureTextBoxEx" töötleb kasutaja sisendit. Teadlane ütles, et kui kasutaja sisestab parooli, jäävad alles stringid, mis võimaldavad ründajal parooli selgetekstis uuesti kokku panna. "Näiteks kui sisestatakse "Parool", on tulemuseks järgmised stringid: •a, ••s, •••s, ••••w, ••••••o, •••••• r, ••••••••d.”

Plaaster juuni alguses

Aastal SourceForge'i arutelulõim, tunnistas KeePassi hooldaja Dominik Reichl probleemi ja ütles, et on probleemi lahendamiseks rakendanud paroolihaldurisse kaks täiustust.

Reichel ütles, et täiustused lisatakse järgmisesse KeePassi väljaandesse (2.54) koos muude turvalisusega seotud funktsioonidega. Algselt märkis ta, et see juhtub millalgi järgmise kahe kuu jooksul, kuid muutis hiljem uue versiooni eeldatava tarnekuupäeva juuni alguseks.

"Täpsustuseks oli "järgmise kahe kuu jooksul" mõeldud ülempiiriks," ütles Reichl. "KeePass 2.54 väljalaske realistlik prognoos on tõenäoliselt juuni alguses (st 2-3 nädalat), kuid ma ei saa seda garanteerida."

Küsimused paroolihalduri turvalisuse kohta

KeePassi kasutajate jaoks on see teine ​​kord viimaste kuude jooksul, kui teadlased on avastanud tarkvara turvaprobleemi. Veebruaris uuris uurija Alex Hernandez näitas, kuidas ründaja kellel on KeePassi XML-konfiguratsioonifaili kirjutusjuurdepääs, saaks seda redigeerida viisil, mis toob paroolide andmebaasist välja selgeteksti paroolid ja eksportida selle vaikselt ründaja juhitavasse serverisse.

Kuigi haavatavusele määrati ametlik identifikaator (CVE-2023-24055), KeePass ise vaidlustas selle kirjelduse paroolihaldur ei ole loodud vastu pidama rünnakutele, mis on pärit isikutelt, kellel on kohalikule arvutile juba kõrge juurdepääs.

"Ühtegi paroolihaldurit pole turvaline kasutada, kui pahatahtlik tegutseja on rikkunud töökeskkonda," märkis KeePass toona. "Enamiku kasutajate jaoks on KeePassi vaikeinstallimine ohutu, kui töötab õigeaegselt paigatud, korralikult hallatud ja vastutustundlikult kasutatavas aknakeskkonnas."

Uus KeyPassi haavatavus hoiab tõenäoliselt veel mõnda aega elus arutelusid paroolihalduri turvalisuse üle. Viimastel kuudel on toimunud mitu intsidenti, mis on toonud esile peamiste paroolihalduri tehnoloogiatega seotud turvaprobleemid. Detsembris näiteks LastPass avalikustas juhtumi kus ohus osaleja pääses ettevõttesse varasema sissetungi mandaate kasutades juurde kolmanda osapoole pilveteenuse pakkuja juures salvestatud kliendiandmetele.

Jaanuaris Google'i teadlased hoiatati paroolihaldurite (nt Bitwarden, Dashlane ja Safari Password Manager) eest, mis täidavad automaatselt kasutaja mandaadid, ilma et peaksite pöörduma ebausaldusväärsetele lehtedele.

Vahepeal on ohus osalejad suurendanud rünnakuid paroolihalduri toodete vastu, tõenäoliselt selliste probleemide tõttu.

Jaanuaris Bitwarden ja 1Password teatasid vaatlemisest tasulised reklaamid Google'i otsingutulemustes, mis suunasid reklaame avanud kasutajad saitidele, kus laaditi alla oma paroolihaldurite võltsitud versioone.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
• Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
• Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords