कीपास भेद्यता मास्टर पासवर्ड को खतरे में डालती है

हाल के महीनों में दूसरी बार एक सुरक्षा शोधकर्ता ने व्यापक रूप से उपयोग किए जाने वाले कीपास ओपन सोर्स पासवर्ड मैनेजर में भेद्यता की खोज की है।

यह Windows, Linux, और macOS के लिए KeePass 2.X संस्करणों को प्रभावित करता है, और हमलावरों को एक मेमोरी डंप से क्लीयरटेक्स्ट में लक्ष्य के मास्टर पासवर्ड को पुनः प्राप्त करने का एक तरीका देता है - तब भी जब उपयोगकर्ता का कार्यक्षेत्र बंद हो।

जबकि कीपास के मेंटेनर ने दोष के लिए एक सुधार विकसित किया है, यह संस्करण 2.54 (जून की शुरुआत में संभावित) के रिलीज होने तक आम तौर पर उपलब्ध नहीं होगा। इस बीच, भेद्यता की खोज करने वाले शोधकर्ता - के रूप में ट्रैक किया गया CVE-2023-32784 - पहले से ही है एक सबूत की अवधारणा जारी की इसके लिए GitHub पर।

गिटहब पर सुरक्षा शोधकर्ता "वधोनी" ने कहा, "लक्ष्य प्रणाली पर कोई कोड निष्पादन की आवश्यकता नहीं है, बस एक मेमोरी डंप है।" "इससे कोई फर्क नहीं पड़ता कि स्मृति कहाँ से आती है - प्रक्रिया डंप हो सकती है, स्वैप फ़ाइल (पेजफाइल.एसआईएस), हाइबरनेशन फ़ाइल (हाइबरफिल.एसआईएस), या पूरे सिस्टम का रैम डंप हो सकता है।"

एक हमलावर मास्टर पासवर्ड को पुनः प्राप्त कर सकता है, भले ही स्थानीय उपयोगकर्ता ने कार्यक्षेत्र को बंद कर दिया हो और कीपास के चलने के बाद भी, शोधकर्ता ने कहा।

Vdhoney ने इस भेद्यता का वर्णन किया कि केवल एक हमलावर जिसके पास होस्ट के फाइल सिस्टम या RAM तक पढ़ने की पहुंच है, वह इसका फायदा उठाने में सक्षम होगा। हालांकि, अक्सर, इसके लिए हमलावर को सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं होती है। दूरस्थ हमलावर नियमित रूप से भेद्यता शोषण, फ़िशिंग हमलों, रिमोट एक्सेस ट्रोजन और अन्य तरीकों के माध्यम से इन दिनों ऐसी पहुंच प्राप्त करते हैं।

"जब तक आप किसी परिष्कृत व्यक्ति द्वारा विशेष रूप से लक्षित होने की उम्मीद नहीं करते, मैं शांत रहूंगा," शोधकर्ता ने कहा।

Vdhoney ने कहा कि भेद्यता को "सिक्योरटेक्स्टबॉक्सएक्स" नामक पासवर्ड दर्ज करने के लिए एक कीपास कस्टम बॉक्स उपयोगकर्ता इनपुट को संसाधित करने के तरीके के साथ करना था। जब उपयोगकर्ता एक पासवर्ड टाइप करता है, तो बचे हुए तार होते हैं जो एक हमलावर को स्पष्ट पाठ में पासवर्ड को फिर से इकट्ठा करने की अनुमति देते हैं, शोधकर्ता ने कहा। “उदाहरण के लिए, जब 'पासवर्ड' टाइप किया जाता है, तो इसका परिणाम इन बचे हुए तारों में होगा: •a, ••s, •••s, ••••w, •••••o, •••••• आर, •••••••d।”

जून की शुरुआत में पैच करें

में SourceForge पर चर्चा सूत्र, कीपास अनुरक्षक डॉमिनिक रिचल ने इस मुद्दे को स्वीकार किया और कहा कि उन्होंने समस्या का समाधान करने के लिए पासवर्ड प्रबंधक में दो संवर्द्धन लागू किए हैं।

रेचेल ने कहा कि संवर्द्धन अगले कीपास रिलीज (2.54) में अन्य सुरक्षा संबंधी सुविधाओं के साथ शामिल किया जाएगा। उन्होंने शुरू में संकेत दिया था कि अगले दो महीनों में कुछ समय होगा, लेकिन बाद में नए संस्करण के लिए अनुमानित वितरण तिथि को संशोधित कर जून की शुरुआत में कर दिया।

"स्पष्ट करने के लिए, 'अगले दो महीनों के भीतर' एक ऊपरी सीमा के रूप में था," रीचेल ने कहा। "कीपास 2.54 रिलीज के लिए एक यथार्थवादी अनुमान शायद 'जून की शुरुआत में' (यानी 2-3 सप्ताह) है, लेकिन मैं इसकी गारंटी नहीं दे सकता।"

पासवर्ड प्रबंधक सुरक्षा के बारे में प्रश्न

KeePass उपयोगकर्ताओं के लिए, यह हाल के महीनों में दूसरी बार है जब शोधकर्ताओं ने सॉफ़्टवेयर के साथ सुरक्षा समस्या का खुलासा किया है। फरवरी में, शोधकर्ता एलेक्स हर्नांडेज़ हमलावर कैसे दिखाया गया KeePass 'XML कॉन्फ़िगरेशन फ़ाइल तक पहुंच के साथ इसे पासवर्ड डेटाबेस से क्लीयरटेक्स्ट पासवर्ड पुनर्प्राप्त करने और हमलावर-नियंत्रित सर्वर पर चुपचाप निर्यात करने के तरीके में संपादित कर सकता है।

हालांकि भेद्यता को एक औपचारिक पहचानकर्ता सौंपा गया था (CVE-2023-24055), कीपास ही उस विवरण पर विवाद किया और बनाए रखा कि पासवर्ड मैनेजर किसी ऐसे व्यक्ति के हमलों का सामना करने के लिए डिज़ाइन नहीं किया गया है जिसके पास पहले से ही स्थानीय पीसी पर उच्च स्तर की पहुंच है।

कीपास ने उस समय नोट किया था, "कोई भी पासवर्ड प्रबंधक उपयोग करने के लिए सुरक्षित नहीं है, जब ऑपरेटिंग वातावरण एक दुर्भावनापूर्ण अभिनेता द्वारा समझौता किया जाता है।" "अधिकांश उपयोगकर्ताओं के लिए, KeePass की एक डिफ़ॉल्ट स्थापना समय पर पैच किए गए, ठीक से प्रबंधित और जिम्मेदारी से उपयोग किए जाने वाले विंडो वातावरण पर चलने पर सुरक्षित है।"

नई कीपास भेद्यता कुछ और समय के लिए पासवर्ड मैनेजर सुरक्षा के बारे में चर्चा जारी रखने की संभावना है। हाल के महीनों में, ऐसी कई घटनाएं हुई हैं, जिनमें प्रमुख पासवर्ड प्रबंधक तकनीकों से संबंधित सुरक्षा मुद्दों पर प्रकाश डाला गया है। दिसंबर में, उदाहरण के लिए, LastPass ने एक घटना का खुलासा किया जहां एक थ्रेट एक्टर, कंपनी में पिछले घुसपैठ से क्रेडेंशियल्स का उपयोग करके, तृतीय-पक्ष क्लाउड सेवा प्रदाता के साथ संग्रहीत ग्राहक डेटा तक पहुंच गया।

जनवरी में, Google के शोधकर्ता बिटवर्डन, डैशलेन, और सफारी पासवर्ड मैनेजर जैसे पासवर्ड मैनेजरों के बारे में चेतावनी दी गई है कि बिना किसी अविश्वास वाले पेजों में बिना किसी संकेत के यूजर क्रेडेंशियल्स को ऑटो-फिल किया जाए।

इस बीच खतरे वाले अभिनेताओं ने पासवर्ड मैनेजर उत्पादों के खिलाफ हमलों को तेज कर दिया है, ऐसे मुद्दों के परिणामस्वरूप।

जनवरी में, बिटवर्डन और 1पासवर्ड ने अवलोकन करने की सूचना दी Google खोज परिणामों में भुगतान किए गए विज्ञापन जो उन उपयोगकर्ताओं को निर्देशित करते हैं जिन्होंने अपने पासवर्ड प्रबंधकों के नकली संस्करण डाउनलोड करने के लिए साइटों पर विज्ञापन खोले।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• मिंटिंग द फ्यूचर डब्ल्यू एड्रिएन एशले। यहां पहुंचें।
• PREIPO® के साथ PRE-IPO कंपनियों में शेयर खरीदें और बेचें। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords