Vulnerabilitatea KeePass pune în pericol parolele principale

Pentru a doua oară în ultimele luni, un cercetător în securitate a descoperit o vulnerabilitate în managerul de parole open source KeePass.

Acesta afectează versiunile KeePass 2.X pentru Windows, Linux și macOS și oferă atacatorilor o modalitate de a prelua parola principală a unei ținte în text clar dintr-o memorie de descărcare - chiar și atunci când spațiul de lucru al utilizatorului este închis.

Deși întreținătorul KeePass a dezvoltat o remediere pentru defecțiune, aceasta nu va deveni disponibilă în general până la lansarea versiunii 2.54 (probabil la începutul lunii iunie). Între timp, cercetătorul care a descoperit vulnerabilitatea a fost urmărit ca CVE-2023-32784 — a avut deja a lansat o dovadă de concept pentru asta pe GitHub.

„Nu este necesară nicio execuție a codului pe sistemul țintă, doar o descărcare de memorie”, a spus cercetătorul de securitate „vdhoney” pe GitHub. „Nu contează de unde provine memoria – poate fi descărcarea procesului, fișierul swap (pagefile.sys), fișierul de hibernare (hiberfil.sys) sau descărcarea RAM a întregului sistem.”

Un atacator poate prelua parola principală chiar dacă utilizatorul local a blocat spațiul de lucru și chiar și după ce KeePass nu mai rulează, a spus cercetătorul.

Vdhoney a descris vulnerabilitatea ca fiind una pe care doar un atacator cu acces la citire la sistemul de fișiere sau la RAM-ul gazdei ar putea să o exploateze. Adesea, însă, acest lucru nu necesită ca un atacator să aibă acces fizic la un sistem. Atacatorii de la distanță obțin în mod obișnuit un astfel de acces în zilele noastre prin exploatări de vulnerabilități, atacuri de phishing, troieni de acces la distanță și alte metode.

„Dacă nu te aștepți să fii vizat în mod specific de cineva sofisticat, aș păstra calmul”, a adăugat cercetătorul.

Vdhoney a spus că vulnerabilitatea are de-a face cu modul în care o casetă personalizată KeyPass pentru introducerea parolelor numită „SecureTextBoxEx” procesează introducerea utilizatorului. Când utilizatorul introduce o parolă, există șiruri rămase care permit unui atacator să reasamblate parola în text clar, a spus cercetătorul. „De exemplu, când se tastează „Parolă”, va rezulta aceste șiruri rămase: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”

Patch la începutul lunii iunie

Într-o fir de discuții pe SourceForge, menținătorul KeePass, Dominik Reichl, a recunoscut problema și a spus că a implementat două îmbunătățiri la managerul de parole pentru a rezolva problema.

Îmbunătățirile vor fi incluse în următoarea versiune KeePass (2.54), împreună cu alte funcții legate de securitate, a spus Reichel. El a indicat inițial că acest lucru se va întâmpla cândva în următoarele două luni, dar ulterior a revizuit data estimată de livrare pentru noua versiune până la începutul lunii iunie.

„Pentru a clarifica, „în următoarele două luni” a fost menit ca o limită superioară”, a spus Reichl. „O estimare realistă pentru lansarea KeePass 2.54 este probabil „la începutul lunii iunie” (adică 2-3 săptămâni), dar nu pot garanta asta.”

Întrebări despre securitatea Managerului de parole

Pentru utilizatorii KeePass, aceasta este a doua oară în ultimele luni când cercetătorii au descoperit o problemă de securitate cu software-ul. În februarie, cercetătorul Alex Hernandez a arătat cum un atacator cu acces de scriere la fișierul de configurare XML al KeePass ar putea să-l editeze astfel încât să recupereze parolele cu text clar din baza de date de parole și să le exporte în tăcere pe un server controlat de atacator.

Deși vulnerabilității i s-a atribuit un identificator formal (CVE-2023-24055), KeepPass în sine a contestat această descriere și întreținut, managerul de parole nu este conceput pentru a rezista atacurilor de la cineva care are deja un nivel ridicat de acces pe un computer local.

„Niciun manager de parole nu este sigur de utilizat atunci când mediul de operare este compromis de un actor rău intenționat”, notase KeePass atunci. „Pentru majoritatea utilizatorilor, o instalare implicită a KeePass este sigură atunci când rulează într-un mediu Windows corectat, gestionat corespunzător și utilizat în mod responsabil.”

Noua vulnerabilitate KeyPass va menține discuțiile despre securitatea managerului de parole vii pentru mai mult timp. În ultimele luni, au existat mai multe incidente care au evidențiat probleme de securitate legate de tehnologiile majore de gestionare a parolelor. În decembrie, de exemplu, LastPass a dezvăluit un incident în cazul în care un actor de amenințare, folosind acreditările de la o intruziune anterioară în companie, a accesat datele clienților stocate la un furnizor de servicii cloud terț.

În ianuarie, cercetători la Google a avertizat despre managerii de parole, cum ar fi Bitwarden, Dashlane și Safari Password Manager, care completează automat datele de conectare ale utilizatorului, fără nicio solicitare în paginile care nu sunt de încredere.

Între timp, actorii amenințărilor au intensificat atacurile împotriva produselor managerului de parole, probabil ca urmare a unor astfel de probleme.

În ianuarie, Bitwarden și 1Password au raportat că au observat reclame plătite în rezultatele căutării Google care direcționau utilizatorii care deschideau reclamele către site-uri pentru descărcarea versiunilor falsificate ale managerilor lor de parole.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
• Mintând viitorul cu Adryenn Ashley. Accesați Aici.
• Cumpărați și vindeți acțiuni în companii PRE-IPO cu PREIPO®. Accesați Aici.
• Sursa: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords