KeePassの脆弱性によりマスターパスワードが脅かされる

ここ数カ月間で XNUMX 度目となるセキュリティ研究者が、広く使用されているオープンソースのパスワード マネージャー KeePass の脆弱性を発見しました。

これは、Windows、Linux、macOS 用の KeePass 2.X バージョンに影響し、ユーザーのワークスペースが閉じている場合でも、攻撃者にメモリ ダンプからターゲットのマスター パスワードを平文で取得する方法を提供します。

KeePass の管理者はこの欠陥に対する修正を開発しましたが、バージョン 2.54 のリリース (おそらく XNUMX 月初旬) まで一般公開されません。 一方、脆弱性を発見した研究者は、次のように追跡されました。 CVE-2023-32784 — すでに 概念実証をリリースしました GitHub にあります。

セキュリティ研究者の「vdhoney」氏はGitHubで「ターゲットシステム上でコードを実行する必要はなく、メモリダンプだけが必要だ」と述べた。 「メモリがどこから来たのかは関係ありません。プロセス ダンプ、スワップ ファイル (pagefile.sys)、休止状態ファイル (hiberfil.sys)、またはシステム全体の RAM ダンプのいずれであっても構いません。」

研究者によると、ローカルユーザーがワークスペースをロックした場合や、KeePassが実行されなくなった後でも、攻撃者はマスターパスワードを取得できる可能性があるという。

Vdhoney氏は、この脆弱性について、ホストのファイルシステムまたはRAMへの読み取りアクセス権を持つ攻撃者のみが悪用できる脆弱性だと説明した。 ただし、多くの場合、攻撃者がシステムに物理的にアクセスする必要はありません。 最近では、リモート攻撃者は、脆弱性の悪用、フィッシング攻撃、リモート アクセス トロイの木馬などの方法を介して、日常的にこのようなアクセスを取得しています。

「洗練された人物によって特に標的にされることが予想されない限り、私は冷静を保つつもりです」と研究者は付け加えた。

Vdhoney氏は、この脆弱性は「SecureTextBoxEx」と呼ばれるパスワードを入力するためのKeyPassカスタムボックスがユーザー入力を処理する方法に関係していると述べた。 ユーザーがパスワードを入力すると文字列が残り、攻撃者がパスワードを平文で再構築できるようになると研究者は述べた。 たとえば、「パスワード」を入力すると、次の文字列が残ります: •a、••s、•••s、••••w、•••••o、•••••• r、•••••••d」

XNUMX月上旬のパッチ

で SourceForge のディスカッション スレッド, KeePassのメンテナであるDominik Reichl氏はこの問題を認め、この問題に対処するためにパスワードマネージャーにXNUMXつの機能強化を実装したと述べた。

Reichel氏によると、この機能強化は他のセキュリティ関連機能とともに次のKeePassリリース(2.54)に含まれる予定だという。 同氏は当初、今後XNUMXカ月以内に実現すると示唆していたが、後に新バージョンの配信予定日をXNUMX月上旬に修正した。

「明確にしておきますが、『今後2.54か月以内』というのは上限を意味したものです」とライヒル氏は述べた。 「KeePass 2 リリースの現実的な見積もりはおそらく『3 月初旬』 (つまり XNUMX ～ XNUMX 週間) ですが、それを保証することはできません。」

パスワード マネージャーのセキュリティに関する質問

KeePass ユーザーにとって、研究者がソフトウェアのセキュリティ問題を発見したのはここ数カ月で XNUMX 回目です。 XNUMX月、研究者のアレックス・ヘルナンデス氏 攻撃者のやり方を示した KeePass の XML 構成ファイルへの書き込みアクセス権を持つユーザーは、パスワード データベースから平文のパスワードを取得し、攻撃者が制御するサーバーにサイレント エクスポートするような方法でファイルを編集する可能性があります。

この脆弱性には正式な識別子 (CVE-2023-24055)、KeePass自体 その説明に異議を唱えた そして、パスワード マネージャーは、ローカル PC 上ですでに高レベルのアクセス権を持っている誰かからの攻撃に耐えるように設計されていないと主張しました。

「オペレーティング環境が悪意のある攻撃者によって侵害された場合、安全に使用できるパスワード マネージャーは存在しない」と KeePass は当時述べていました。 「ほとんどのユーザーにとって、タイムリーにパッチが適用され、適切に管理され、責任を持って使用されている Windows 環境で実行されている場合、KeePass のデフォルトのインストールは安全です。」

新しい KeyPass の脆弱性により、パスワード マネージャーのセキュリティに関する議論はしばらく続く可能性があります。 ここ数カ月間、主要なパスワード マネージャー テクノロジに関連するセキュリティ問題を浮き彫りにするインシデントがいくつかありました。 たとえばXNUMX月には、 LastPass がインシデントを明らかにした ここでは、脅威アクターが、以前に社内に侵入した際の認証情報を使用して、サードパーティのクラウド サービス プロバイダーに保存されている顧客データにアクセスしました。

1月に、 Googleの研究者 Bitwarden、Dashlane、Safari Password Manager などのパスワード マネージャーが、信頼できないページへのプロンプトを表示せずにユーザー資格情報を自動入力することについて警告しました。

一方、脅威アクターは、おそらくこのような問題の結果として、パスワード マネージャー製品に対する攻撃を強化しています。

1月に、 Bitwarden と 1Password が観察を報告 Google の検索結果に有料広告が表示され、広告を開いたユーザーがパスワード マネージャーの偽装バージョンをダウンロードするサイトに誘導されました。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
• PREIPO® を使用して PRE-IPO 企業の株式を売買します。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords