KeePass-kwetsbaarheid brengt hoofdwachtwoorden in gevaar

Voor de tweede keer in de afgelopen maanden heeft een beveiligingsonderzoeker een kwetsbaarheid ontdekt in de veelgebruikte KeePass open source wachtwoordbeheerder.

Deze is van invloed op KeePass 2.X-versies voor Windows, Linux en macOS, en biedt aanvallers een manier om het hoofdwachtwoord van een doelwit in leesbare tekst op te halen uit een geheugendump, zelfs wanneer de werkruimte van de gebruiker gesloten is.

Hoewel de onderhouder van KeePass een oplossing voor de fout heeft ontwikkeld, zal deze niet algemeen beschikbaar komen tot de release van versie 2.54 (waarschijnlijk begin juni). Ondertussen heeft de onderzoeker die de kwetsbaarheid ontdekte - bijgehouden als CVE-2023-32784 - heeft al een proof-of-concept uitgebracht ervoor op GitHub.

"Er is geen code-uitvoering op het doelsysteem vereist, alleen een geheugendump", zei de beveiligingsonderzoeker "vdhoney" op GitHub. "Het maakt niet uit waar het geheugen vandaan komt - het kan de procesdump, het wisselbestand (pagefile.sys), het slaapstandbestand (hiberfil.sys) of de RAM-dump van het hele systeem zijn."

Een aanvaller kan het hoofdwachtwoord achterhalen, zelfs als de lokale gebruiker de werkruimte heeft vergrendeld en zelfs nadat KeePass niet meer actief is, aldus de onderzoeker.

Vdhoney beschreef de kwetsbaarheid als een kwetsbaarheid die alleen een aanvaller met leestoegang tot het bestandssysteem of RAM van de host zou kunnen misbruiken. Vaak vereist dat echter niet dat een aanvaller fysieke toegang tot een systeem heeft. Externe aanvallers krijgen tegenwoordig routinematig dergelijke toegang via misbruik van kwetsbaarheden, phishing-aanvallen, trojans voor externe toegang en andere methoden.

"Tenzij je verwacht specifiek het doelwit te zijn van iemand die geavanceerd is, zou ik kalm blijven", voegde de onderzoeker eraan toe.

Vdhoney zei dat de kwetsbaarheid te maken had met hoe een aangepaste KeyPass-box voor het invoeren van wachtwoorden genaamd "SecureTextBoxEx" gebruikersinvoer verwerkt. Wanneer de gebruiker een wachtwoord typt, zijn er overgebleven strings waarmee een aanvaller het wachtwoord in leesbare tekst opnieuw kan samenstellen, aldus de onderzoeker. “Wanneer 'Wachtwoord' bijvoorbeeld wordt getypt, resulteert dit in deze overgebleven tekenreeksen: •a, ••s, •••s, ••••w, •••••o, •••••• r, ••••••••d.”

Patch begin juni

In een discussiethread op SourceForge, erkende KeePass-onderhouder Dominik Reichl het probleem en zei dat hij twee verbeteringen aan de wachtwoordbeheerder had geïmplementeerd om het probleem aan te pakken.

De verbeteringen zullen worden opgenomen in de volgende KeePass-release (2.54), samen met andere beveiligingsgerelateerde functies, zei Reichel. Hij gaf aanvankelijk aan dat dit ergens in de komende twee maanden zou gebeuren, maar later stelde hij de geschatte leverdatum voor de nieuwe versie bij tot begin juni.

"Ter verduidelijking: 'binnen de komende twee maanden' was bedoeld als een bovengrens," zei Reichl. "Een realistische schatting voor de release van KeePass 2.54 is waarschijnlijk 'begin juni' (dwz 2-3 weken), maar dat kan ik niet garanderen."

Vragen over de beveiliging van Password Manager

Voor KeePass-gebruikers is dit de tweede keer in de afgelopen maanden dat onderzoekers een beveiligingsprobleem met de software hebben ontdekt. In februari onderzoekt onderzoeker Alex Hernandez liet zien hoe een aanvaller met schrijftoegang tot het XML-configuratiebestand van KeePass zou het kunnen bewerken op een manier dat leesbare wachtwoorden uit de wachtwoorddatabase worden opgehaald en geruisloos worden geëxporteerd naar een door een aanvaller gecontroleerde server.

Hoewel de kwetsbaarheid een formele identificatiecode kreeg toegewezen (CVE-2023-24055), KeePass zelf betwistte die beschrijving en onderhouden, is de wachtwoordbeheerder niet ontworpen om aanvallen te weerstaan ​​van iemand die al een hoog toegangsniveau heeft op een lokale pc.

"Geen enkele wachtwoordbeheerder is veilig om te gebruiken wanneer de besturingsomgeving wordt gecompromitteerd door een kwaadwillende actor", merkte KeePass destijds op. "Voor de meeste gebruikers is een standaardinstallatie van KeePass veilig wanneer deze wordt uitgevoerd op een tijdig gepatchte, goed beheerde en verantwoord gebruikte Windows-omgeving."

De nieuwe KeyPass-kwetsbaarheid zal de discussies over de beveiliging van wachtwoordbeheerders waarschijnlijk nog enige tijd levendig houden. De afgelopen maanden hebben er verschillende incidenten plaatsgevonden die beveiligingsproblemen met betrekking tot belangrijke wachtwoordbeheertechnologieën aan het licht hebben gebracht. In december bijv. LastPass heeft een incident bekendgemaakt waar een bedreigingsactor, met behulp van inloggegevens van een eerdere inbraak bij het bedrijf, toegang kreeg tot klantgegevens die waren opgeslagen bij een externe cloudserviceprovider.

In januari, onderzoekers bij Google waarschuwde voor wachtwoordmanagers zoals Bitwarden, Dashlane en Safari Password Manager die gebruikersreferenties automatisch invullen zonder enige aanwijzing naar niet-vertrouwde pagina's.

Bedreigingsactoren hebben ondertussen aanvallen op producten voor wachtwoordbeheer opgevoerd, waarschijnlijk als gevolg van dergelijke problemen.

In januari, Bitwarden en 1Password meldden waarnemingen betaalde advertenties in zoekresultaten van Google die gebruikers die de advertenties openden doorverwezen naar sites om vervalste versies van hun wachtwoordbeheerders te downloaden.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• De toekomst slaan met Adryenn Ashley. Toegang hier.
• Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
• Bron: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords