Luka w zabezpieczeniach KeePass zagraża hasłom głównym

Po raz drugi w ostatnich miesiącach badacz bezpieczeństwa odkrył lukę w powszechnie używanym menedżerze haseł typu open source KeePass.

Ta dotyczy wersji KeePass 2.X dla systemów Windows, Linux i macOS i umożliwia atakującym odzyskanie hasła głównego celu w postaci zwykłego tekstu ze zrzutu pamięci — nawet gdy obszar roboczy użytkownika jest zamknięty.

Chociaż opiekun KeePass opracował poprawkę dla usterki, nie będzie ona ogólnie dostępna do czasu wydania wersji 2.54 (prawdopodobnie na początku czerwca). Tymczasem badacz, który odkrył lukę — wyśledził jako CVE-2023-32784 - ma już opublikował dowód koncepcji za to na GitHub.

„Nie jest wymagane wykonanie kodu w systemie docelowym, wystarczy zrzut pamięci” — powiedział badacz bezpieczeństwa „vdhoney” na GitHub. „Nie ma znaczenia, skąd pochodzi pamięć — może to być zrzut procesu, plik wymiany (pagefile.sys), plik hibernacji (hiberfil.sys) lub zrzut pamięci RAM całego systemu”.

Atakujący może odzyskać hasło główne, nawet jeśli lokalny użytkownik zablokował obszar roboczy, a nawet po tym, jak KeePass już nie działa, powiedział badacz.

Vdhoney opisał tę lukę jako taką, którą mógłby wykorzystać tylko atakujący z dostępem do odczytu systemu plików hosta lub pamięci RAM. Często jednak nie wymaga to od atakującego fizycznego dostępu do systemu. Obecnie osoby atakujące zdalnie rutynowo uzyskują taki dostęp za pomocą luk w zabezpieczeniach, ataków typu phishing, trojanów zdalnego dostępu i innych metod.

„O ile nie spodziewasz się, że ktoś wyrafinowany będzie konkretnie atakowany, zachowałbym spokój” – dodał badacz.

Vdhoney powiedział, że luka ma związek z tym, jak niestandardowe pole KeyPass do wprowadzania haseł o nazwie „SecureTextBoxEx” przetwarza dane wprowadzane przez użytkownika. Badacz powiedział, że gdy użytkownik wpisuje hasło, pozostają łańcuchy, które umożliwiają atakującemu ponowne złożenie hasła w postaci zwykłego tekstu. „Na przykład wpisanie hasła spowoduje pozostawienie następujących ciągów znaków: •a, ••s, •••s, ••••w, •••••o, •••••• r & D."

Patch na początku czerwca

W wątek dyskusyjny na SourceForge, opiekun KeePass, Dominik Reichl, przyznał się do problemu i powiedział, że zaimplementował dwa ulepszenia menedżera haseł, aby rozwiązać problem.

Ulepszenia zostaną uwzględnione w następnej wersji KeePass (2.54), wraz z innymi funkcjami związanymi z bezpieczeństwem, powiedział Reichel. Początkowo zasugerował, że nastąpi to w ciągu najbliższych dwóch miesięcy, ale później zmienił szacunkową datę dostarczenia nowej wersji na początek czerwca.

„Dla wyjaśnienia, „w ciągu najbliższych dwóch miesięcy” oznaczało górną granicę” – powiedział Reichl. „Realistyczne szacunki dotyczące wydania KeePass 2.54 to prawdopodobnie„ początek czerwca ”(tj. 2-3 tygodnie), ale nie mogę tego zagwarantować”.

Pytania dotyczące zabezpieczeń Menedżera haseł

Dla użytkowników KeePass już drugi raz w ciągu ostatnich miesięcy badacze odkryli problem z bezpieczeństwem oprogramowania. W lutym badacz Alex Hernandez pokazał jak napastnik z dostępem do zapisu w pliku konfiguracyjnym XML KeePass mógłby edytować go w taki sposób, aby pobierać hasła w postaci zwykłego tekstu z bazy danych haseł i eksportować je po cichu na kontrolowany przez atakującego serwer.

Chociaż luce przypisano formalny identyfikator (CVE-2023-24055), sam KeePass zakwestionował ten opis i utrzymywany, menedżer haseł nie jest przeznaczony do przeciwstawiania się atakom ze strony kogoś, kto ma już wysoki poziom dostępu na lokalnym komputerze.

„Żaden menedżer haseł nie jest bezpieczny w użyciu, gdy środowisko operacyjne jest zagrożone przez złośliwego aktora”, zauważył wówczas KeePass. „Dla większości użytkowników domyślna instalacja KeePass jest bezpieczna, gdy działa w terminowo aktualizowanym, odpowiednio zarządzanym i odpowiedzialnie używanym środowisku Windows”.

Nowa luka w zabezpieczeniach KeyPass prawdopodobnie podtrzyma dyskusje na temat bezpieczeństwa menedżera haseł jeszcze przez jakiś czas. W ostatnich miesiącach miało miejsce kilka incydentów, które uwypukliły kwestie bezpieczeństwa związane z głównymi technologiami zarządzania hasłami. W grudniu np. LastPass ujawnił incydent gdzie cyberprzestępca, korzystając z poświadczeń z poprzedniego włamania do firmy, uzyskał dostęp do danych klientów przechowywanych u zewnętrznego dostawcy usług w chmurze.

W styczniu, badacze w Google ostrzegał przed menedżerami haseł, takimi jak Bitwarden, Dashlane i Safari Password Manager, które automatycznie wypełniają poświadczenia użytkownika bez żadnego monitowania o wejście na niezaufane strony.

W międzyczasie cyberprzestępcy nasilili ataki na produkty do zarządzania hasłami, prawdopodobnie w wyniku takich problemów.

W styczniu, Bitwarden i 1Password zgłosili obserwacje płatne reklamy w wynikach wyszukiwania Google, które kierowały użytkowników, którzy otworzyli reklamy, do witryn w celu pobrania sfałszowanych wersji ich menedżerów haseł.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
• Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
• Kupuj i sprzedawaj akcje spółek PRE-IPO z PREIPO®. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords