آسیب پذیری KeePass گذرواژه های اصلی را تحت تأثیر قرار می دهد

برای دومین بار در ماه های اخیر، یک محقق امنیتی یک آسیب پذیری را در مدیریت رمز عبور متن باز KeePass کشف کرده است.

این یکی بر نسخه‌های KeePass 2.X برای ویندوز، لینوکس و macOS تأثیر می‌گذارد و به مهاجمان راهی می‌دهد تا رمز عبور اصلی هدف را به صورت متن واضح از یک حافظه خالی بازیابی کنند - حتی زمانی که فضای کاری کاربر بسته است.

در حالی که نگهدارنده KeePass راه حلی برای رفع این نقص ایجاد کرده است، اما تا زمان انتشار نسخه 2.54 (احتمالاً در اوایل ژوئن) به طور کلی در دسترس نخواهد بود. در همین حال، محققی که این آسیب‌پذیری را کشف کرد - به عنوان ردیابی شد CVE-2023-32784 - قبلاً اثبات مفهوم را منتشر کرد برای آن در GitHub.

محقق امنیتی "vdhoney" در GitHub گفت: "هیچ کدی در سیستم هدف مورد نیاز نیست، فقط یک حافظه خالی است." فرقی نمی‌کند که حافظه از کجا می‌آید، می‌تواند فرآیند تخلیه، فایل مبادله (pagefile.sys)، فایل hibernation (hiberfil.sys)، یا تخلیه RAM کل سیستم باشد.

این محقق گفت، مهاجم می‌تواند رمز عبور اصلی را بازیابی کند، حتی اگر کاربر محلی فضای کاری را قفل کرده باشد و حتی پس از اینکه KeePass دیگر اجرا نشود.

Vdhoney این آسیب‌پذیری را به عنوان آسیب‌پذیری توصیف کرد که تنها یک مهاجم با دسترسی خواندن به سیستم فایل میزبان یا RAM می‌تواند از آن سوء استفاده کند. با این حال، اغلب نیازی به دسترسی فیزیکی مهاجم به یک سیستم نیست. این روزها مهاجمان از راه دور معمولاً از طریق سوء استفاده از آسیب‌پذیری، حملات فیشینگ، تروجان‌های دسترسی از راه دور و روش‌های دیگر به چنین دسترسی‌هایی دست می‌یابند.

این محقق افزود: «مگر اینکه انتظار داشته باشید به طور خاص توسط یک فرد پیشرفته هدف قرار بگیرید، من آرامش خود را حفظ خواهم کرد.

Vdhoney گفت که این آسیب پذیری به نحوه پردازش ورودی کاربر توسط یک جعبه سفارشی KeyPass برای وارد کردن رمزهای عبور به نام "SecureTextBoxEx" مربوط می شود. محقق گفت: وقتی کاربر رمز عبور را تایپ می کند، رشته های باقی مانده ای وجود دارد که به مهاجم اجازه می دهد رمز عبور را در متن شفاف جمع کند. برای مثال، هنگامی که «رمز عبور» تایپ می‌شود، این رشته‌های باقیمانده را ایجاد می‌کند: •a، ••s، •••s، ••••w، •••••o، •••••• r، •••••••d.”

پچ در اوایل ژوئن

در یک موضوع بحث در SourceForge، نگهدارنده KeePass Dominik Reichl این مشکل را تایید کرد و گفت که برای رفع این مشکل دو پیشرفت را در مدیر رمز عبور اعمال کرده است.

رایشل گفت که این پیشرفت‌ها در نسخه بعدی KeePass (2.54) همراه با سایر ویژگی‌های مرتبط با امنیت گنجانده خواهد شد. او ابتدا اشاره کرد که این اتفاق در دو ماه آینده رخ خواهد داد، اما بعداً تاریخ تحویل نسخه جدید را تا اوایل ژوئن اصلاح کرد.

رایکل گفت: «برای روشن شدن، «در دو ماه آینده» به عنوان یک حد بالا در نظر گرفته شد. یک تخمین واقع بینانه برای انتشار KeePass 2.54 احتمالاً در ابتدای ژوئن (یعنی 2 تا 3 هفته) است، اما من نمی توانم آن را تضمین کنم.

سوالاتی درباره امنیت مدیریت رمز عبور

برای کاربران KeePass، این دومین بار در ماه های اخیر است که محققان یک مشکل امنیتی را در این نرم افزار کشف می کنند. در فوریه، محقق الکس هرناندز نشان داد که چگونه یک مهاجم با دسترسی نوشتن به فایل پیکربندی XML KeePass می‌توان آن را به گونه‌ای ویرایش کرد که پسوردهای متن شفاف را از پایگاه داده رمز عبور بازیابی کند و آن را بی‌صدا به یک سرور تحت کنترل مهاجم صادر کند.

اگرچه به آسیب پذیری یک شناسه رسمی اختصاص داده شد (CVE-2023-24055خود KeePass با این توصیف مخالفت کرد و حفظ شده است که مدیر رمز عبور برای مقاومت در برابر حملات شخصی که قبلاً سطح بالایی از دسترسی در رایانه شخصی محلی دارد طراحی نشده است.

KeePass در آن زمان خاطرنشان کرده بود: «هیچ مدیر رمز عبور زمانی که محیط عملیاتی توسط یک عامل مخرب در معرض خطر قرار می‌گیرد، ایمن نیست. برای اکثر کاربران، نصب پیش‌فرض KeePass هنگام اجرا بر روی یک محیط Windows وصله‌شده، به‌درستی مدیریت شده و مسئولانه استفاده شده، ایمن است.»

آسیب‌پذیری جدید KeyPass احتمالاً بحث‌های پیرامون امنیت مدیر رمز عبور را برای مدتی بیشتر زنده نگه می‌دارد. در ماه‌های اخیر، چندین اتفاق رخ داده است که مسائل امنیتی مربوط به فناوری‌های مدیریت رمز عبور را برجسته کرده است. به عنوان مثال، در ماه دسامبر، LastPass یک حادثه را فاش کرد جایی که یک عامل تهدید با استفاده از اعتبارنامه‌های یک نفوذ قبلی در شرکت، به داده‌های مشتری ذخیره‌شده با یک ارائه‌دهنده خدمات ابری شخص ثالث دسترسی پیدا کرد.

در ژانویه، محققان Google در مورد مدیریت رمز عبور مانند Bitwarden، Dashlane و Safari Password Manager هشدار داده است که اطلاعات کاربری کاربر را بدون هیچ گونه درخواستی برای ورود به صفحات غیرقابل اعتماد پر می کنند.

در همین حال، عوامل تهدید حملات علیه محصولات مدیریت رمز عبور را افزایش داده اند، احتمالاً در نتیجه چنین مسائلی.

در ژانویه، Bitwarden و 1Password مشاهده کردند تبلیغات پولی در نتایج جستجوی Google که کاربرانی را که تبلیغات را برای دانلود نسخه‌های جعلی مدیریت رمز عبور خود به سایت‌ها باز می‌کردند هدایت می‌کرد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
• ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
• خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
• منبع: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords