KeePass-haavoittuvuus vaarantaa pääsalasanat

Toisen kerran viime kuukausien aikana tietoturvatutkija on havainnut haavoittuvuuden laajalti käytetyssä KeePass avoimen lähdekoodin salasanojen hallinnassa.

Tämä vaikuttaa KeePass 2.X -versioihin Windowsille, Linuxille ja macOS:lle ja antaa hyökkääjille tavan hakea kohteen pääsalasana selkeänä tekstinä muistivedosta – vaikka käyttäjän työtila olisi suljettu.

Vaikka KeePassin ylläpitäjä on kehittänyt korjauksen virheeseen, se tulee yleisesti saataville vasta version 2.54 julkaisusta (todennäköisesti kesäkuun alussa). Sillä välin haavoittuvuuden löytänyt tutkija jäljitettiin nimellä CVE-2023-32784 - on jo julkaisi proof-of-concept sitä varten GitHubissa.

"Koodin suorittamista kohdejärjestelmässä ei vaadita, vain muistivedos", tietoturvatutkija "vdhoney" sanoi GitHubissa. "Sillä ei ole väliä mistä muisti tulee – se voi olla prosessivedos, sivutustiedosto (pagefile.sys), lepotilatiedosto (hiberfil.sys) tai koko järjestelmän RAM-vedos."

Hyökkääjä voi noutaa pääsalasanan, vaikka paikallinen käyttäjä olisi lukinnut työtilan ja vaikka KeePass ei olisi enää käynnissä, tutkija sanoi.

Vdhoney kuvaili haavoittuvuutta sellaiseksi, että vain hyökkääjä, jolla on lukuoikeus isännän tiedostojärjestelmään tai RAM-muistiin, voisi hyödyntää. Usein se ei kuitenkaan vaadi hyökkääjällä fyysistä pääsyä järjestelmään. Etähyökkääjät saavat nykyään rutiininomaisesti tällaisen pääsyn haavoittuvuushyökkäyksien, tietojenkalasteluhyökkäysten, etäkäyttötroijalaisten ja muiden menetelmien kautta.

"Ellei odota, että joku hienostunut joutuu erityisesti kohteena, pysyisin rauhallisena", tutkija lisäsi.

Vdhoney sanoi, että haavoittuvuus liittyy siihen, kuinka KeyPass-muokattu laatikko salasanojen syöttämiseen nimeltä "SecureTextBoxEx" käsittelee käyttäjän syötteitä. Kun käyttäjä kirjoittaa salasanan, jäljelle jää merkkijonoja, joiden avulla hyökkääjä voi koota salasanan uudelleen selkeänä tekstinä, tutkija sanoi. "Esimerkiksi 'Salasana' kirjoitettaessa tuloksena on seuraavat jäljellä olevat merkkijonot: •a, ••s, •••s, ••••w, ••••••o, •••••• r, ••••••••d."

Korjaus kesäkuun alussa

Jonkin sisällä keskusteluketju SourceForgessa, KeePass-ylläpitäjä Dominik Reichl myönsi ongelman ja sanoi toteuttaneensa kaksi parannusta salasananhallintaan ongelman ratkaisemiseksi.

Parannukset sisällytetään seuraavaan KeePass-julkaisuun (2.54) muiden turvallisuuteen liittyvien ominaisuuksien ohella, Reichel sanoi. Hän ilmoitti alun perin, että se tapahtuisi joskus seuraavan kahden kuukauden aikana, mutta myöhemmin tarkisti uuden version arvioidun toimituspäivän kesäkuun alkuun.

"Selvennykseksi: "seuraavien kahden kuukauden sisällä" tarkoitettiin ylärajaksi", Reichl sanoi. "Realistinen arvio KeePass 2.54 -julkaisulle on todennäköisesti "kesäkuun alussa" (eli 2-3 viikkoa), mutta en voi taata sitä."

Kysymyksiä Password Managerin suojauksesta

KeePass-käyttäjille tämä on toinen kerta viime kuukausina, kun tutkijat ovat paljastaneet ohjelmistoon liittyvän tietoturvaongelman. Helmikuussa tutkija Alex Hernandez näytti kuinka hyökkääjä joilla on kirjoitusoikeus KeePassin XML-määritystiedostoon, voisi muokata sitä tavalla, joka noutaa selväkieliset salasanat salasanatietokannasta ja viedä sen hiljaa hyökkääjän ohjaamaan palvelimeen.

Vaikka haavoittuvuudelle määritettiin virallinen tunniste (CVE-2023-24055), KeePass itse kiisti tämän kuvauksen salasanojen hallintaa ei ole suunniteltu kestämään sellaisten henkilöiden hyökkäyksiä, joilla on jo korkea pääsy paikalliseen tietokoneeseen.

"Mikään salasananhallinta ei ole turvallista käyttää, kun toimintaympäristö on vaarantunut haitallisen toimijan toimesta", KeePass totesi tuolloin. "Useimmille käyttäjille KeePassin oletusasennus on turvallista, kun se toimii ajoissa korjatussa, oikein hallitussa ja vastuullisesti käytetyssä Window-ympäristössä."

Uusi KeyPass-haavoittuvuus pitää todennäköisesti keskustelut salasanojen hallinnan turvallisuudesta elossa vielä jonkin aikaa. Viime kuukausina on sattunut useita tapauksia, jotka ovat korostaneet tärkeimpiin salasananhallintatekniikoihin liittyviä tietoturvaongelmia. Joulukuussa mm. LastPass paljasti tapauksen jossa uhkatoimija käytti yritykseen aikaisemman tunkeutumisen tunnistetietoja käyttäen kolmannen osapuolen pilvipalveluntarjoajan kanssa tallennettuja asiakastietoja.

Tammikuussa, tutkijat Googlessa varoitti salasanojen hallintaohjelmista, kuten Bitwarden, Dashlane ja Safari Password Manager, jotka täyttävät automaattisesti käyttäjän tunnistetiedot ilman kehotteita epäluotettaville sivuille.

Uhkatoimijat ovat tällä välin käynnistäneet hyökkäyksiä salasananhallintatuotteita vastaan ​​todennäköisesti tällaisten ongelmien seurauksena.

Tammikuussa, Bitwarden ja 1Password ilmoittivat havainnoistaan maksettuja mainoksia Googlen hakutuloksissa, jotka ohjasivat mainokset avanneet käyttäjät sivustoille lataamaan salasanojen hallintaohjelmiensa väärennettyjä versioita.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
• Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
• Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords