Kerentanan KeePass Membahayakan Kata Sandi Utama

Untuk kedua kalinya dalam beberapa bulan terakhir, seorang peneliti keamanan menemukan kerentanan di pengelola kata sandi sumber terbuka KeePass yang banyak digunakan.

Yang satu ini memengaruhi versi KeePass 2.X untuk Windows, Linux, dan macOS, dan memberi penyerang cara untuk mengambil kata sandi utama target dalam bentuk teks-jelas dari dump memori — bahkan ketika ruang kerja pengguna ditutup.

Sementara pengelola KeePass telah mengembangkan perbaikan untuk cacat tersebut, itu tidak akan tersedia secara umum hingga rilis versi 2.54 (kemungkinan pada awal Juni). Sementara itu, peneliti yang menemukan kerentanan — dilacak sebagai CVE-2023-32784 - sudah terlanjur merilis proof-of-concept untuk itu di GitHub.

“Tidak diperlukan eksekusi kode pada sistem target, hanya dump memori,” kata peneliti keamanan “vdhoney” di GitHub. "Tidak masalah dari mana asal memori - dapat berupa dump proses, file swap (pagefile.sys), file hibernasi (hiberfil.sys), atau dump RAM dari seluruh sistem."

Penyerang dapat mengambil kata sandi utama bahkan jika pengguna lokal telah mengunci ruang kerja dan bahkan setelah KeePass tidak lagi berjalan, kata peneliti.

Vdhoney menggambarkan kerentanan tersebut sebagai kerentanan yang hanya dapat dieksploitasi oleh penyerang dengan akses baca ke sistem file host atau RAM. Namun, seringkali hal itu tidak mengharuskan penyerang memiliki akses fisik ke sistem. Penyerang jarak jauh secara rutin mendapatkan akses seperti itu akhir-akhir ini melalui eksploitasi kerentanan, serangan phishing, Trojan akses jarak jauh, dan metode lainnya.

"Kecuali jika Anda mengharapkan untuk secara khusus ditargetkan oleh seseorang yang canggih, saya akan tetap tenang," tambah peneliti.

Vdhoney mengatakan kerentanan itu berkaitan dengan bagaimana kotak kustom KeyPass untuk memasukkan kata sandi yang disebut "SecureTextBoxEx" memproses masukan pengguna. Saat pengguna mengetikkan kata sandi, ada sisa string yang memungkinkan penyerang memasang kembali kata sandi dalam bentuk teks jelas, kata peneliti. “Misalnya, ketika 'Password' diketik, akan menghasilkan sisa string berikut: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”

Tambalan di Awal Juni

Di sebuah utas diskusi di SourceForge, pengelola KeePass Dominik Reichl mengakui masalah tersebut dan mengatakan dia telah menerapkan dua peningkatan pada pengelola kata sandi untuk mengatasi masalah tersebut.

Peningkatan akan dimasukkan dalam rilis KeePass berikutnya (2.54), bersama dengan fitur terkait keamanan lainnya, kata Reichel. Dia awalnya mengindikasikan bahwa itu akan terjadi dalam dua bulan ke depan, tetapi kemudian merevisi perkiraan tanggal pengiriman untuk versi baru menjadi awal Juni.

"Untuk mengklarifikasi, 'dalam dua bulan ke depan' dimaksudkan sebagai batas atas," kata Reichl. “Perkiraan realistis untuk rilis KeePass 2.54 mungkin adalah 'pada awal Juni' (yaitu 2-3 minggu), tetapi saya tidak dapat menjamin itu.”

Pertanyaan Tentang Keamanan Pengelola Kata Sandi

Untuk pengguna KeePass, ini adalah kedua kalinya dalam beberapa bulan terakhir peneliti menemukan masalah keamanan dengan perangkat lunak. Pada bulan Februari, peneliti Alex Hernandez menunjukkan bagaimana seorang penyerang dengan akses tulis ke file konfigurasi XML KeePass dapat mengeditnya sedemikian rupa untuk mengambil kata sandi teks-jelas dari basis data kata sandi dan mengekspornya secara diam-diam ke server yang dikendalikan penyerang.

Meskipun kerentanan diberi pengidentifikasi formal (CVE-2023-24055), KeePass itu sendiri membantah deskripsi itu dan dipertahankan pengelola kata sandi tidak dirancang untuk menahan serangan dari seseorang yang sudah memiliki akses tingkat tinggi di PC lokal.

“Tidak ada pengelola kata sandi yang aman untuk digunakan saat lingkungan operasi dikompromikan oleh aktor jahat,” kata KeePass saat itu. “Bagi sebagian besar pengguna, penginstalan default KeePass aman saat berjalan di lingkungan Window yang ditambal tepat waktu, dikelola dengan baik, dan digunakan secara bertanggung jawab.”

Kerentanan KeyPass baru kemungkinan akan membuat diskusi seputar keamanan pengelola kata sandi tetap hidup untuk beberapa waktu lagi. Dalam beberapa bulan terakhir, ada beberapa insiden yang menyoroti masalah keamanan terkait teknologi pengelola kata sandi utama. Pada bulan Desember, misalnya, LastPass mengungkapkan sebuah insiden di mana pelaku ancaman, menggunakan kredensial dari intrusi sebelumnya di perusahaan, mengakses data pelanggan yang disimpan dengan penyedia layanan cloud pihak ketiga.

Pada bulan Januari, peneliti di Google memperingatkan tentang pengelola kata sandi seperti Bitwarden, Dashlane, dan Safari Password Manager yang mengisi otomatis kredensial pengguna tanpa diminta ke halaman yang tidak dipercaya.

Sementara itu, pelaku ancaman telah meningkatkan serangan terhadap produk pengelola kata sandi, kemungkinan besar sebagai akibat dari masalah tersebut.

Pada bulan Januari, Bitwarden dan 1Password melaporkan mengamati iklan berbayar di hasil penelusuran Google yang mengarahkan pengguna yang membuka iklan ke situs untuk mengunduh versi palsu dari pengelola kata sandi mereka.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords