La vulnérabilité KeePass met en péril les mots de passe maîtres

La vulnérabilité KeePass met en péril les mots de passe maîtres

Horodatage: 18 mai 2023 5:33
La vulnérabilité KeePass met en péril les mots de passe principaux PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

Pour la deuxième fois au cours des derniers mois, un chercheur en sécurité a découvert une vulnérabilité dans le gestionnaire de mots de passe open source largement utilisé KeePass.

Celui-ci affecte les versions KeePass 2.X pour Windows, Linux et macOS, et donne aux attaquants un moyen de récupérer le mot de passe principal d'une cible en texte clair à partir d'un vidage mémoire, même lorsque l'espace de travail de l'utilisateur est fermé.

Bien que le responsable de KeePass ait développé un correctif pour la faille, il ne sera pas généralement disponible avant la sortie de la version 2.54 (probablement début juin). Pendant ce temps, le chercheur qui a découvert la vulnérabilité - suivi comme CVE-2023-32784 - a déjà a publié une preuve de concept pour cela sur GitHub.

"Aucune exécution de code sur le système cible n'est requise, juste un vidage de mémoire", a déclaré le chercheur en sécurité "vdhoney" sur GitHub. "Peu importe d'où vient la mémoire - il peut s'agir du vidage de processus, du fichier d'échange (pagefile.sys), du fichier d'hibernation (hiberfil.sys) ou du vidage de RAM de l'ensemble du système."

Un attaquant peut récupérer le mot de passe principal même si l'utilisateur local a verrouillé l'espace de travail et même après que KeePass ne fonctionne plus, a déclaré le chercheur.

Vdhoney a décrit la vulnérabilité comme une vulnérabilité que seul un attaquant disposant d'un accès en lecture au système de fichiers ou à la RAM de l'hôte serait en mesure d'exploiter. Souvent, cependant, cela ne nécessite pas qu'un attaquant ait un accès physique à un système. De nos jours, les attaquants distants obtiennent régulièrement un tel accès via des exploits de vulnérabilité, des attaques de phishing, des chevaux de Troie d'accès à distance et d'autres méthodes.

"À moins que vous ne vous attendiez à être spécifiquement ciblé par quelqu'un de sophistiqué, je resterais calme", ​​a ajouté le chercheur.

Vdhoney a déclaré que la vulnérabilité était liée à la façon dont une boîte personnalisée KeyPass pour la saisie de mots de passe appelée "SecureTextBoxEx" traite l'entrée de l'utilisateur. Lorsque l'utilisateur tape un mot de passe, il reste des chaînes qui permettent à un attaquant de réassembler le mot de passe en texte clair, a déclaré le chercheur. "Par exemple, lorsque 'Mot de passe' est tapé, il en résultera ces chaînes restantes : •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d. »

Patch début juin

Dans un fil de discussion sur SourceForge, le responsable de KeePass, Dominik Reichl, a reconnu le problème et a déclaré qu'il avait mis en œuvre deux améliorations du gestionnaire de mots de passe pour résoudre le problème.

Les améliorations seront incluses dans la prochaine version de KeePass (2.54), ainsi que d'autres fonctionnalités liées à la sécurité, a déclaré Reichel. Il a initialement indiqué que cela se produirait au cours des deux prochains mois, mais a ensuite révisé la date de livraison estimée de la nouvelle version au début juin.

"Pour clarifier," dans les deux prochains mois "était censé être une limite supérieure", a déclaré Reichl. "Une estimation réaliste pour la version KeePass 2.54 est probablement" début juin "(c'est-à-dire 2-3 semaines), mais je ne peux pas le garantir."

Questions sur la sécurité du gestionnaire de mots de passe

Pour les utilisateurs de KeePass, c'est la deuxième fois ces derniers mois que des chercheurs découvrent un problème de sécurité avec le logiciel. En février, le chercheur Alex Hernandez montré comment un attaquant avec un accès en écriture au fichier de configuration XML de KeePass pourrait le modifier de manière à récupérer les mots de passe en clair de la base de données de mots de passe et à l'exporter silencieusement vers un serveur contrôlé par l'attaquant.

Bien que la vulnérabilité ait reçu un identifiant formel (CVE-2023-24055), KeePass lui-même a contesté cette description et maintenu le gestionnaire de mots de passe n'est pas conçu pour résister aux attaques de quelqu'un qui a déjà un haut niveau d'accès sur un PC local.

"Aucun gestionnaire de mots de passe n'est sûr à utiliser lorsque l'environnement d'exploitation est compromis par un acteur malveillant", avait noté KeePass à l'époque. "Pour la plupart des utilisateurs, une installation par défaut de KeePass est sûre lorsqu'elle s'exécute sur un environnement Windows corrigé en temps opportun, correctement géré et utilisé de manière responsable."

La nouvelle vulnérabilité KeyPass est susceptible de maintenir les discussions sur la sécurité du gestionnaire de mots de passe pendant encore un certain temps. Ces derniers mois, plusieurs incidents ont mis en évidence des problèmes de sécurité liés aux principales technologies de gestion de mots de passe. En décembre, par exemple, LastPass a révélé un incident où un acteur malveillant, utilisant les informations d'identification d'une précédente intrusion dans l'entreprise, a accédé aux données client stockées auprès d'un fournisseur de services cloud tiers.

En Janvier, chercheurs chez Google a mis en garde contre les gestionnaires de mots de passe tels que Bitwarden, Dashlane et Safari Password Manager remplissant automatiquement les informations d'identification de l'utilisateur sans aucune invite dans des pages non approuvées.

Entre-temps, les acteurs de la menace ont intensifié les attaques contre les produits de gestion de mots de passe, probablement en raison de ces problèmes.

En Janvier, Bitwarden et 1Password ont rapporté avoir observé des publicités payantes dans les résultats de recherche Google qui dirigeaient les utilisateurs qui ouvraient les publicités vers des sites pour télécharger des versions falsifiées de leurs gestionnaires de mots de passe.

Horodatage:

Plus de Lecture sombre