Az elmúlt hónapokban másodszor fedezett fel egy biztonsági kutató sebezhetőséget a széles körben használt KeePass nyílt forráskódú jelszókezelőben.
Ez érinti a KeePass 2.X Windows, Linux és macOS verzióit, és lehetőséget ad a támadóknak arra, hogy a célpont fő jelszavát tiszta szöveggel lekérjék a memóriakiírásból – még akkor is, ha a felhasználó munkaterülete be van zárva.
Míg a KeePass karbantartója kidolgozott egy javítást a hibára, az csak a 2.54-es verzió megjelenéséig válik általánosan elérhetővé (valószínűleg június elején). Eközben a sérülékenységet felfedező kutató - nyomon követte CVE-2023 32784- - már kiadott egy proof-of-concept a GitHubon.
„Nincs szükség kódfuttatásra a célrendszeren, csak egy memóriakiíratásra” – mondta a „vdhoney” biztonsági kutató a GitHubon. „Nem számít, honnan származik a memória – lehet folyamatkiírat, cserefájl (pagefile.sys), hibernált fájl (hiberfil.sys) vagy a teljes rendszer RAM-kiíratása.”
A kutató szerint a támadó akkor is lekérheti a fő jelszót, ha a helyi felhasználó zárolta a munkaterületet, és még akkor is, ha a KeePass már nem fut.
Vdhoney úgy írta le a sérülékenységet, mint amelyet csak a gazdagép fájlrendszeréhez vagy RAM-jához olvasási hozzáféréssel rendelkező támadó tud kihasználni. Ehhez azonban gyakran nincs szükség arra, hogy a támadó fizikailag hozzáférjen a rendszerhez. A távoli támadók manapság rutinszerűen jutnak hozzá ehhez a sebezhetőség kizsákmányolásához, adathalász támadásokhoz, távoli hozzáférésű trójai programokhoz és egyéb módszerekhez.
"Hacsak nem számít arra, hogy valaki kifinomult célpontja lesz, nyugodt lennék" - tette hozzá a kutató.
Vdhoney szerint a sérülékenység azzal kapcsolatos, hogy a „SecureTextBoxEx” nevű, jelszavak bevitelére szolgáló egyéni KeyPass mező hogyan dolgozza fel a felhasználói bevitelt. Amikor a felhasználó beír egy jelszót, ott maradnak olyan karakterláncok, amelyek lehetővé teszik a támadó számára, hogy újra összeállítsa a jelszót tiszta szöveggel – mondta a kutató. „Például a „Jelszó” beírása a következő maradék karakterláncokat eredményezi: •a, ••s, •••s, ••••w, •••••o, •••••• r, ••••••••d.”
Patch június elején
egy vitaszál a SourceForge-onDominik Reichl, a KeePass karbantartója elismerte a problémát, és elmondta, hogy a probléma megoldása érdekében két fejlesztést vezetett be a jelszókezelőben.
A fejlesztések a következő KeePass kiadásban (2.54) fognak szerepelni, más, biztonsággal kapcsolatos funkciókkal együtt, mondta Reichel. Kezdetben jelezte, hogy ez valamikor a következő két hónapban fog megtörténni, de később módosította az új verzió becsült szállítási dátumát június elejére.
„Egyértelművé téve, a „következő két hónapon belül” felső határt jelentett” – mondta Reichl. "A KeePass 2.54 kiadás reális becslése valószínűleg "június eleje" (azaz 2-3 hét), de ezt nem tudom garantálni."
Kérdések a Jelszókezelő biztonságáról
A KeePass felhasználói számára az elmúlt hónapokban ez a második alkalom, hogy a kutatók biztonsági problémát tártak fel a szoftverrel kapcsolatban. Februárban Alex Hernandez kutató megmutatta, hogyan egy támadó a KeePass XML konfigurációs fájljához való írási hozzáféréssel úgy szerkesztheti azt, hogy tiszta szöveges jelszavakat kérjen le a jelszóadatbázisból, és csendben exportálja a támadók által vezérelt kiszolgálóra.
Bár a sérülékenységhez hivatalos azonosítót rendeltek (CVE-2023 24055-), magát a KeePass-t vitatta ezt a leírást A jelszókezelőt nem úgy tervezték, hogy ellenálljon olyan személyek támadásainak, akik már magas szintű hozzáféréssel rendelkeznek a helyi számítógépen.
„Egyetlen jelszókezelő sem biztonságos, ha a működési környezetet egy rosszindulatú szereplő veszélyezteti” – jegyezte meg akkor KeePass. "A legtöbb felhasználó számára a KeePass alapértelmezett telepítése biztonságos, ha időben javított, megfelelően kezelt és felelősségteljesen használt Window környezetben fut."
Az új KeyPass sebezhetőség valószínűleg még egy ideig életben tartja a jelszókezelő biztonságáról szóló vitákat. Az elmúlt hónapokban több incidens is rávilágított a főbb jelszókezelő technológiákkal kapcsolatos biztonsági problémákra. Decemberben pl. A LastPass felfedett egy incidenst ahol egy fenyegetés szereplője a vállalat korábbi behatolásából származó hitelesítő adatok felhasználásával hozzáfért egy harmadik fél felhőszolgáltatónál tárolt ügyféladatokhoz.
Januárban, kutatók a Google-nál figyelmeztetett az olyan jelszókezelőkre, mint a Bitwarden, a Dashlane és a Safari Password Manager, amely automatikusan kitölti a felhasználói hitelesítési adatokat anélkül, hogy nem megbízható oldalakra utasítana.
A fenyegetés szereplői időközben támadásokat indítottak a jelszókezelő termékek ellen, valószínűleg az ilyen problémák eredményeként.
Januárban, A Bitwarden és az 1Password megfigyelésről számolt be fizetett hirdetések a Google keresési eredményei között, amelyek a hirdetéseket megnyitó felhasználókat olyan webhelyekre irányították, ahol letölthetik a jelszókezelők hamisított verzióit.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords
- :van
- :is
- :nem
- :ahol
- $ UP
- 7
- a
- Képes
- Rólunk
- hozzáférés
- igénybe vett
- elismerte
- szereplők
- hozzáadott
- cím
- hirdetések
- Után
- ellen
- alex
- lehetővé
- mentén
- már
- an
- és a
- bármilyen
- VANNAK
- körül
- AS
- kijelölt
- At
- Támadások
- elérhető
- BE
- válik
- Kezdet
- Köteles
- Doboz
- de
- by
- hívott
- TUD
- nem tud
- zárt
- felhő
- kód
- jön
- vállalat
- Veszélyeztetett
- Configuration
- tudott
- Hitelesítő adatok
- szokás
- vevő
- ügyféladatok
- dátum
- adatbázis
- találka
- Nap
- december
- alapértelmezett
- kézbesítés
- leírt
- tervezett
- fejlett
- felfedezett
- megbeszélések
- do
- nem
- kiírása
- e
- Korai
- fejlesztések
- belépés
- Egész
- Környezet
- becslés
- Még
- példa
- végrehajtás
- vár
- Exploit
- hasznosítja
- export
- Jellemzők
- február
- filé
- Rögzít
- hibája
- A
- hivatalos
- ból ből
- Nyereség
- általában
- GitHub
- ad
- Google keresés
- garancia
- kellett
- történik
- Legyen
- he
- Magas
- Kiemelt
- vendéglátó
- Hogyan
- azonban
- HTTPS
- i
- azonosító
- if
- végre
- in
- beleértve
- jelzett
- alapvetően
- bemenet
- telepítés
- példa
- bele
- kérdés
- kérdések
- IT
- maga
- január
- jpg
- június
- éppen
- Tart
- a későbbiekben
- Maradék
- szint
- Valószínű
- linux
- helyi
- zárt
- hosszabb
- MacOS
- fontos
- sikerült
- menedzser
- Menedzserek
- mód
- mester
- Anyag
- jelentett
- Közben
- Memory design
- mód
- hónap
- több
- a legtöbb
- Új
- következő
- nst
- nem
- neves
- of
- gyakran
- on
- ONE
- csak
- nyitva
- nyílt forráskódú
- nyitott
- üzemeltetési
- or
- Más
- fizetett
- Jelszó
- Password Manager
- jelszavak
- PC
- Adathalászat
- adathalász támadások
- fizikai
- Plató
- Platón adatintelligencia
- PlatoData
- előző
- valószínűleg
- Probléma
- folyamat
- Folyamatok
- Termékek
- megfelelően
- ellátó
- RAM
- Olvass
- valószerű
- új
- összefüggő
- engedje
- távoli
- távoli hozzáférés
- Számolt
- szükség
- kötelező
- kutató
- kutatók
- eredményez
- Eredmények
- rutinszerűen
- futás
- s
- Safari
- biztonságos
- Mondott
- Keresés
- Második
- biztonság
- szolgáltatás
- Szolgáltató
- számos
- Webhely (ek)
- szoftver
- néhány
- Valaki
- kifinomult
- forrás
- kifejezetten
- memorizált
- ilyen
- csere
- SYS
- rendszer
- cél
- célzott
- Technologies
- hogy
- A
- azok
- Ott.
- Ezek
- harmadik fél
- ezt
- fenyegetés
- idő
- nak nek
- kettő
- típusok
- fedetlen
- -ig
- használ
- használt
- használó
- Felhasználók
- segítségével
- változat
- keresztül
- sebezhetőség
- volt
- Út..
- Hetek
- amikor
- WHO
- széles körben
- lesz
- ablakok
- val vel
- belül
- nélkül
- Nyerte
- lenne
- ír
- X
- XML
- te
- zephyrnet