פגיעות KeePass מסכנת סיסמאות אב

בפעם השנייה בחודשים האחרונים חוקר אבטחה גילה פגיעות במנהל הסיסמאות הפתוח של KeePass בשימוש נרחב.

גרסה זו משפיעה על גרסאות KeePass 2.X עבור Windows, Linux ו-macOS, ונותנת לתוקפים דרך לאחזר את סיסמת המאסטר של מטרה בטקסט ברור מתוך זיכרון dump - גם כאשר סביבת העבודה של המשתמש סגורה.

בעוד שהמתחזק של KeePass פיתח תיקון לפגם, הוא לא יהפוך לזמין באופן כללי עד שחרורו של גרסה 2.54 (ככל הנראה בתחילת יוני). בינתיים, החוקר שגילה את הפגיעות - מעקב כמו CVE-2023-32784 - כבר פרסמה הוכחת מושג בשביל זה ב-GitHub.

"לא נדרשת ביצוע קוד במערכת היעד, רק dump זיכרון", אמר חוקר האבטחה "vdhoney" ב-GitHub. "זה לא משנה מאיפה הזיכרון מגיע - יכול להיות dump התהליך, קובץ ההחלפה (pagefile.sys), קובץ שינה (hiberfil.sys), או dump RAM של המערכת כולה."

תוקף יכול לאחזר את סיסמת האב גם אם המשתמש המקומי נעל את סביבת העבודה ואפילו לאחר שה-KeePass כבר לא פועל, אמר החוקר.

Vdhoney תיאר את הפגיעות ככזו שרק תוקף עם גישת קריאה למערכת הקבצים או ל-RAM של המארח יוכל לנצל. עם זאת, לעתים קרובות, זה לא מחייב לתוקף גישה פיזית למערכת. תוקפים מרוחקים מקבלים גישה כזו בימינו באופן שגרתי באמצעות ניצול פגיעות, התקפות דיוג, סוסים טרויאניים בגישה מרחוק ושיטות אחרות.

"אלא אם כן אתה מצפה להיות מטרה ספציפית על ידי מישהו מתוחכם, הייתי שומר על קור רוח", הוסיף החוקר.

Vdhoney אמר שהפגיעות קשורה לאופן שבו תיבה מותאמת אישית של KeyPass להזנת סיסמאות בשם "SecureTextBoxEx" מעבדת את קלט המשתמש. כאשר המשתמש מקליד סיסמה, נותרו מחרוזות המאפשרות לתוקף להרכיב מחדש את הסיסמה בטקסט ברור, אמר החוקר. "לדוגמה, כאשר 'סיסמה' מוקלדת, זה יביא לשאריות המחרוזות הבאות: •a, ••s, •••s, ••••w, •••••o, •••••• מחקר ופיתוח."

תיקון בתחילת יוני

ב שרשור דיון ב-SourceForge, מתחזק KeePass, דומיניק רייכל, הודה בבעיה ואמר שהוא הטמיע שני שיפורים למנהל הסיסמאות כדי לטפל בבעיה.

השיפורים ייכללו במהדורת KeePass הבאה (2.54), יחד עם תכונות אחרות הקשורות לאבטחה, אמר רייכל. הוא ציין בתחילה שזה יקרה מתישהו בחודשיים הקרובים, אך מאוחר יותר תיקן את מועד האספקה ​​המשוער של הגרסה החדשה לתחילת יוני.

"כדי להבהיר, 'בתוך החודשיים הקרובים' נועד כגבול עליון", אמר רייכל. "הערכה ריאלית עבור המהדורה של KeePass 2.54 היא כנראה 'בתחילת יוני' (כלומר 2-3 שבועות), אבל אני לא יכול להבטיח זאת."

שאלות על אבטחת מנהל הסיסמאות

עבור משתמשי KeePass, זו הפעם השנייה בחודשים האחרונים שחוקרים חושפים בעיית אבטחה בתוכנה. בפברואר, החוקר אלכס הרננדז הראה איך תוקף עם גישת כתיבה לקובץ תצורת ה-XML של KeePass יכול לערוך אותו באופן שיצליח לאחזר סיסמאות ברורות ממסד הנתונים של הסיסמאות ולייצא אותן בשקט לשרת הנשלט על ידי תוקף.

למרות שלפגיעות הוקצה מזהה רשמי (CVE-2023-24055), KeePass עצמו ערער על התיאור הזה ונשמר, מנהל הסיסמאות אינו מיועד לעמוד בפני התקפות של מישהו שכבר יש לו רמת גישה גבוהה במחשב מקומי.

"אף מנהל סיסמאות אינו בטוח לשימוש כאשר סביבת ההפעלה נפגעת על ידי שחקן זדוני", ציין KeePass אז. "עבור רוב המשתמשים, התקנת ברירת מחדל של KeePass בטוחה כאשר היא פועלת על סביבת Windows מתוקנת בזמן, מנוהלת כראוי ובשימוש אחראי".

הפגיעות החדשה של KeyPass צפויה לשמור על דיונים סביב אבטחת מנהל הסיסמאות בחיים לעוד זמן מה. בחודשים האחרונים אירעו מספר תקריות שהדגישו בעיות אבטחה הקשורות לטכנולוגיות העיקריות של מנהל סיסמאות. בדצמבר, למשל, LastPass חשף תקרית שבו שחקן איומים, באמצעות אישורים מפריצה קודמת לחברה, ניגש לנתוני לקוחות המאוחסנים אצל ספק שירותי ענן של צד שלישי.

בינואר, חוקרים בגוגל הזהיר מפני שמנהלי סיסמאות כגון Bitwarden, Dashlane ו-Safari Password Manager מילוי אוטומטי של אישורי משתמש ללא כל הנחיה להיכנס לדפים לא מהימנים.

שחקנים מאיימים בינתיים הגבירו התקפות נגד מוצרי מנהל סיסמאות, ככל הנראה כתוצאה מבעיות כאלה.

בינואר, Bitwarden ו-1Password דיווחו על תצפית פרסומות בתשלום בתוצאות החיפוש של גוגל שהפנו משתמשים שפתחו את המודעות לאתרים להורדת גרסאות מזויפות של מנהלי הסיסמאות שלהם.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
• הטבעת העתיד עם אדריאן אשלי. גישה כאן.
• קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
• מקור: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords