A KeePass sebezhetősége vezérjelszavakra utal

Az elmúlt hónapokban másodszor fedezett fel egy biztonsági kutató sebezhetőséget a széles körben használt KeePass nyílt forráskódú jelszókezelőben.

Ez érinti a KeePass 2.X Windows, Linux és macOS verzióit, és lehetőséget ad a támadóknak arra, hogy a célpont fő jelszavát tiszta szöveggel lekérjék a memóriakiírásból – még akkor is, ha a felhasználó munkaterülete be van zárva.

Míg a KeePass karbantartója kidolgozott egy javítást a hibára, az csak a 2.54-es verzió megjelenéséig válik általánosan elérhetővé (valószínűleg június elején). Eközben a sérülékenységet felfedező kutató - nyomon követte CVE-2023 32784- - már kiadott egy proof-of-concept a GitHubon.

„Nincs szükség kódfuttatásra a célrendszeren, csak egy memóriakiíratásra” – mondta a „vdhoney” biztonsági kutató a GitHubon. „Nem számít, honnan származik a memória – lehet folyamatkiírat, cserefájl (pagefile.sys), hibernált fájl (hiberfil.sys) vagy a teljes rendszer RAM-kiíratása.”

A kutató szerint a támadó akkor is lekérheti a fő jelszót, ha a helyi felhasználó zárolta a munkaterületet, és még akkor is, ha a KeePass már nem fut.

Vdhoney úgy írta le a sérülékenységet, mint amelyet csak a gazdagép fájlrendszeréhez vagy RAM-jához olvasási hozzáféréssel rendelkező támadó tud kihasználni. Ehhez azonban gyakran nincs szükség arra, hogy a támadó fizikailag hozzáférjen a rendszerhez. A távoli támadók manapság rutinszerűen jutnak hozzá ehhez a sebezhetőség kizsákmányolásához, adathalász támadásokhoz, távoli hozzáférésű trójai programokhoz és egyéb módszerekhez.

"Hacsak nem számít arra, hogy valaki kifinomult célpontja lesz, nyugodt lennék" - tette hozzá a kutató.

Vdhoney szerint a sérülékenység azzal kapcsolatos, hogy a „SecureTextBoxEx” nevű, jelszavak bevitelére szolgáló egyéni KeyPass mező hogyan dolgozza fel a felhasználói bevitelt. Amikor a felhasználó beír egy jelszót, ott maradnak olyan karakterláncok, amelyek lehetővé teszik a támadó számára, hogy újra összeállítsa a jelszót tiszta szöveggel – mondta a kutató. „Például a „Jelszó” beírása a következő maradék karakterláncokat eredményezi: •a, ••s, •••s, ••••w, •••••o, •••••• r, ••••••••d.”

Patch június elején

egy vitaszál a SourceForge-onDominik Reichl, a KeePass karbantartója elismerte a problémát, és elmondta, hogy a probléma megoldása érdekében két fejlesztést vezetett be a jelszókezelőben.

A fejlesztések a következő KeePass kiadásban (2.54) fognak szerepelni, más, biztonsággal kapcsolatos funkciókkal együtt, mondta Reichel. Kezdetben jelezte, hogy ez valamikor a következő két hónapban fog megtörténni, de később módosította az új verzió becsült szállítási dátumát június elejére.

„Egyértelművé téve, a „következő két hónapon belül” felső határt jelentett” – mondta Reichl. "A KeePass 2.54 kiadás reális becslése valószínűleg "június eleje" (azaz 2-3 hét), de ezt nem tudom garantálni."

Kérdések a Jelszókezelő biztonságáról

A KeePass felhasználói számára az elmúlt hónapokban ez a második alkalom, hogy a kutatók biztonsági problémát tártak fel a szoftverrel kapcsolatban. Februárban Alex Hernandez kutató megmutatta, hogyan egy támadó a KeePass XML konfigurációs fájljához való írási hozzáféréssel úgy szerkesztheti azt, hogy tiszta szöveges jelszavakat kérjen le a jelszóadatbázisból, és csendben exportálja a támadók által vezérelt kiszolgálóra.

Bár a sérülékenységhez hivatalos azonosítót rendeltek (CVE-2023 24055-), magát a KeePass-t vitatta ezt a leírást A jelszókezelőt nem úgy tervezték, hogy ellenálljon olyan személyek támadásainak, akik már magas szintű hozzáféréssel rendelkeznek a helyi számítógépen.

„Egyetlen jelszókezelő sem biztonságos, ha a működési környezetet egy rosszindulatú szereplő veszélyezteti” – jegyezte meg akkor KeePass. "A legtöbb felhasználó számára a KeePass alapértelmezett telepítése biztonságos, ha időben javított, megfelelően kezelt és felelősségteljesen használt Window környezetben fut."

Az új KeyPass sebezhetőség valószínűleg még egy ideig életben tartja a jelszókezelő biztonságáról szóló vitákat. Az elmúlt hónapokban több incidens is rávilágított a főbb jelszókezelő technológiákkal kapcsolatos biztonsági problémákra. Decemberben pl. A LastPass felfedett egy incidenst ahol egy fenyegetés szereplője a vállalat korábbi behatolásából származó hitelesítő adatok felhasználásával hozzáfért egy harmadik fél felhőszolgáltatónál tárolt ügyféladatokhoz.

Januárban, kutatók a Google-nál figyelmeztetett az olyan jelszókezelőkre, mint a Bitwarden, a Dashlane és a Safari Password Manager, amely automatikusan kitölti a felhasználói hitelesítési adatokat anélkül, hogy nem megbízható oldalakra utasítana.

A fenyegetés szereplői időközben támadásokat indítottak a jelszókezelő termékek ellen, valószínűleg az ilyen problémák eredményeként.

Januárban, A Bitwarden és az 1Password megfigyelésről számolt be fizetett hirdetések a Google keresési eredményei között, amelyek a hirdetéseket megnyitó felhasználókat olyan webhelyekre irányították, ahol letölthetik a jelszókezelők hamisított verzióit.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
• A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
• Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
• Forrás: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords