בפעם השנייה בחודשים האחרונים חוקר אבטחה גילה פגיעות במנהל הסיסמאות הפתוח של KeePass בשימוש נרחב.
גרסה זו משפיעה על גרסאות KeePass 2.X עבור Windows, Linux ו-macOS, ונותנת לתוקפים דרך לאחזר את סיסמת המאסטר של מטרה בטקסט ברור מתוך זיכרון dump - גם כאשר סביבת העבודה של המשתמש סגורה.
בעוד שהמתחזק של KeePass פיתח תיקון לפגם, הוא לא יהפוך לזמין באופן כללי עד שחרורו של גרסה 2.54 (ככל הנראה בתחילת יוני). בינתיים, החוקר שגילה את הפגיעות - מעקב כמו CVE-2023-32784 - כבר פרסמה הוכחת מושג בשביל זה ב-GitHub.
"לא נדרשת ביצוע קוד במערכת היעד, רק dump זיכרון", אמר חוקר האבטחה "vdhoney" ב-GitHub. "זה לא משנה מאיפה הזיכרון מגיע - יכול להיות dump התהליך, קובץ ההחלפה (pagefile.sys), קובץ שינה (hiberfil.sys), או dump RAM של המערכת כולה."
תוקף יכול לאחזר את סיסמת האב גם אם המשתמש המקומי נעל את סביבת העבודה ואפילו לאחר שה-KeePass כבר לא פועל, אמר החוקר.
Vdhoney תיאר את הפגיעות ככזו שרק תוקף עם גישת קריאה למערכת הקבצים או ל-RAM של המארח יוכל לנצל. עם זאת, לעתים קרובות, זה לא מחייב לתוקף גישה פיזית למערכת. תוקפים מרוחקים מקבלים גישה כזו בימינו באופן שגרתי באמצעות ניצול פגיעות, התקפות דיוג, סוסים טרויאניים בגישה מרחוק ושיטות אחרות.
"אלא אם כן אתה מצפה להיות מטרה ספציפית על ידי מישהו מתוחכם, הייתי שומר על קור רוח", הוסיף החוקר.
Vdhoney אמר שהפגיעות קשורה לאופן שבו תיבה מותאמת אישית של KeyPass להזנת סיסמאות בשם "SecureTextBoxEx" מעבדת את קלט המשתמש. כאשר המשתמש מקליד סיסמה, נותרו מחרוזות המאפשרות לתוקף להרכיב מחדש את הסיסמה בטקסט ברור, אמר החוקר. "לדוגמה, כאשר 'סיסמה' מוקלדת, זה יביא לשאריות המחרוזות הבאות: •a, ••s, •••s, ••••w, •••••o, •••••• מחקר ופיתוח."
תיקון בתחילת יוני
ב שרשור דיון ב-SourceForge, מתחזק KeePass, דומיניק רייכל, הודה בבעיה ואמר שהוא הטמיע שני שיפורים למנהל הסיסמאות כדי לטפל בבעיה.
השיפורים ייכללו במהדורת KeePass הבאה (2.54), יחד עם תכונות אחרות הקשורות לאבטחה, אמר רייכל. הוא ציין בתחילה שזה יקרה מתישהו בחודשיים הקרובים, אך מאוחר יותר תיקן את מועד האספקה המשוער של הגרסה החדשה לתחילת יוני.
"כדי להבהיר, 'בתוך החודשיים הקרובים' נועד כגבול עליון", אמר רייכל. "הערכה ריאלית עבור המהדורה של KeePass 2.54 היא כנראה 'בתחילת יוני' (כלומר 2-3 שבועות), אבל אני לא יכול להבטיח זאת."
שאלות על אבטחת מנהל הסיסמאות
עבור משתמשי KeePass, זו הפעם השנייה בחודשים האחרונים שחוקרים חושפים בעיית אבטחה בתוכנה. בפברואר, החוקר אלכס הרננדז הראה איך תוקף עם גישת כתיבה לקובץ תצורת ה-XML של KeePass יכול לערוך אותו באופן שיצליח לאחזר סיסמאות ברורות ממסד הנתונים של הסיסמאות ולייצא אותן בשקט לשרת הנשלט על ידי תוקף.
למרות שלפגיעות הוקצה מזהה רשמי (CVE-2023-24055), KeePass עצמו ערער על התיאור הזה ונשמר, מנהל הסיסמאות אינו מיועד לעמוד בפני התקפות של מישהו שכבר יש לו רמת גישה גבוהה במחשב מקומי.
"אף מנהל סיסמאות אינו בטוח לשימוש כאשר סביבת ההפעלה נפגעת על ידי שחקן זדוני", ציין KeePass אז. "עבור רוב המשתמשים, התקנת ברירת מחדל של KeePass בטוחה כאשר היא פועלת על סביבת Windows מתוקנת בזמן, מנוהלת כראוי ובשימוש אחראי".
הפגיעות החדשה של KeyPass צפויה לשמור על דיונים סביב אבטחת מנהל הסיסמאות בחיים לעוד זמן מה. בחודשים האחרונים אירעו מספר תקריות שהדגישו בעיות אבטחה הקשורות לטכנולוגיות העיקריות של מנהל סיסמאות. בדצמבר, למשל, LastPass חשף תקרית שבו שחקן איומים, באמצעות אישורים מפריצה קודמת לחברה, ניגש לנתוני לקוחות המאוחסנים אצל ספק שירותי ענן של צד שלישי.
בינואר, חוקרים בגוגל הזהיר מפני שמנהלי סיסמאות כגון Bitwarden, Dashlane ו-Safari Password Manager מילוי אוטומטי של אישורי משתמש ללא כל הנחיה להיכנס לדפים לא מהימנים.
שחקנים מאיימים בינתיים הגבירו התקפות נגד מוצרי מנהל סיסמאות, ככל הנראה כתוצאה מבעיות כאלה.
בינואר, Bitwarden ו-1Password דיווחו על תצפית פרסומות בתשלום בתוצאות החיפוש של גוגל שהפנו משתמשים שפתחו את המודעות לאתרים להורדת גרסאות מזויפות של מנהלי הסיסמאות שלהם.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
- מקור: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 7
- a
- יכול
- אודות
- גישה
- נצפה
- הודה
- שחקנים
- הוסיף
- כתובת
- מודעות
- לאחר
- נגד
- alex
- להתיר
- לאורך
- כְּבָר
- an
- ו
- כל
- ARE
- סביב
- AS
- שהוקצה
- At
- המתקפות
- זמין
- BE
- להיות
- ההתחלה
- כָּרוּך
- אריזה מקורית
- אבל
- by
- נקרא
- CAN
- לא יכול
- סגור
- ענן
- קוד
- מגיע
- חברה
- התפשר
- תְצוּרָה
- יכול
- אישורים
- מנהג
- לקוח
- נתוני לקוחות
- נתונים
- מסד נתונים
- תַאֲרִיך
- ימים
- דֵצֶמבֶּר
- בְּרִירַת מֶחדָל
- מסירה
- מְתוּאָר
- מעוצב
- מפותח
- גילה
- דיונים
- do
- עושה
- שפך
- e
- מוקדם
- שיפורים
- הזנת
- שלם
- סביבה
- לְהַעֲרִיך
- אֲפִילוּ
- דוגמה
- הוצאת להורג
- לצפות
- לנצל
- מעללים
- יצוא
- תכונות
- פבואר
- שלח
- לסדר
- פגם
- בעד
- רִשְׁמִי
- החל מ-
- לְהַשִׂיג
- בדרך כלל
- GitHub
- נותן
- חיפוש Google
- אַחֲרָיוּת
- היה
- לקרות
- יש
- he
- גָבוֹהַ
- מודגש
- המארח
- איך
- אולם
- HTTPS
- i
- מזהה
- if
- יושם
- in
- כלול
- הצביע
- בהתחלה
- קלט
- התקנה
- למשל
- אל תוך
- סוגיה
- בעיות
- IT
- עצמו
- יָנוּאָר
- jpg
- יוני
- רק
- שמור
- מאוחר יותר
- משמאל
- רמה
- סביר
- לינוקס
- מקומי
- נעול
- עוד
- MacOS
- גדול
- הצליח
- מנהל
- מנהלים
- דרך
- אב
- דבר
- התכוון
- בינתיים
- זכרון
- שיטות
- חודשים
- יותר
- רוב
- חדש
- הבא
- ניסט
- לא
- ציין
- of
- לעתים קרובות
- on
- ONE
- רק
- לפתוח
- קוד פתוח
- נפתח
- פועל
- or
- אחר
- נפרע
- סיסמה
- מנהל סיסמא
- סיסמאות
- PC
- דיוג
- התקפות פישינג
- גופני
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- קודם
- כנראה
- בעיה
- תהליך
- תהליכים
- מוצרים
- כמו שצריך
- ספק
- RAM
- חומר עיוני
- מציאותי
- לאחרונה
- קָשׁוּר
- לשחרר
- מרחוק
- גישה מרחוק
- דווח
- לדרוש
- נדרש
- חוקר
- חוקרים
- תוצאה
- תוצאות
- באופן שגרתי
- ריצה
- s
- ספארי
- בטוח
- אמר
- חיפוש
- שְׁנִיָה
- אבטחה
- שרות
- ספק שירות
- כמה
- אתרים
- תוכנה
- כמה
- מישהו
- מתוחכם
- מָקוֹר
- במיוחד
- מאוחסן
- כזה
- להחליף
- SYS
- מערכת
- יעד
- ממוקד
- טכנולוגיות
- זֶה
- השמיים
- שֶׁלָהֶם
- שם.
- אלה
- צד שלישי
- זֶה
- איום
- זמן
- ל
- שתיים
- סוגים
- חָשׂוּף
- עד
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- גרסה
- באמצעות
- פגיעות
- היה
- דֶרֶך..
- שבועות
- מתי
- מי
- באופן נרחב
- יצטרך
- חלונות
- עם
- בתוך
- לְלֹא
- נצחנות
- היה
- לכתוב
- X
- XML
- אתה
- זפירנט