Уязвимость KeePass ставит под угрозу мастер-пароли

Второй раз за последние месяцы исследователь безопасности обнаружил уязвимость в широко используемом менеджере паролей с открытым исходным кодом KeePass.

Это влияет на версии KeePass 2.X для Windows, Linux и macOS и дает злоумышленникам возможность получить мастер-пароль цели в открытом виде из дампа памяти — даже когда рабочее пространство пользователя закрыто.

Хотя сопровождающий KeePass разработал исправление для этой уязвимости, оно не станет общедоступным до выпуска версии 2.54 (вероятно, в начале июня). Тем временем исследователь, обнаруживший уязвимость, отслеживается как CVE-2023-32784 - имеет уже выпустили пробную версию для этого на GitHub.

«Выполнение кода в целевой системе не требуется, только дамп памяти», — сказал исследователь безопасности «vdhoney» на GitHub. «Неважно, откуда берется память — это может быть дамп процесса, файл подкачки (pagefile.sys), файл гибернации (hiberfil.sys) или дамп ОЗУ всей системы».

По словам исследователя, злоумышленник может получить мастер-пароль, даже если локальный пользователь заблокировал рабочую область и даже после того, как KeePass больше не работает.

Vdhoney описал уязвимость как уязвимость, которую может использовать только злоумышленник, имеющий доступ для чтения к файловой системе или оперативной памяти хоста. Однако часто для этого злоумышленнику не требуется физический доступ к системе. Удаленные злоумышленники обычно получают такой доступ в наши дни с помощью эксплойтов уязвимостей, фишинговых атак, троянских программ удаленного доступа и других методов.

«Если вы не ожидаете, что кто-то искушенный станет мишенью для вас, я бы сохранял спокойствие», — добавил исследователь.

Vdhoney сказал, что уязвимость связана с тем, как пользовательское поле KeyPass для ввода паролей под названием «SecureTextBoxEx» обрабатывает вводимые пользователем данные. По словам исследователя, когда пользователь вводит пароль, остаются оставшиеся строки, которые позволяют злоумышленнику собрать пароль в открытом виде. «Например, когда набирается «Пароль», это приведет к следующим оставшимся строкам: •a, ••s, •••s, ••••w, •••••o, •••••• р, •••••••d».

Патч в начале июня

В ветка обсуждения на SourceForge, мейнтейнер KeePass Доминик Райхл признал наличие проблемы и сказал, что он реализовал два улучшения в диспетчере паролей для решения этой проблемы.

По словам Райхеля, эти улучшения будут включены в следующую версию KeePass (2.54) вместе с другими функциями, связанными с безопасностью. Первоначально он указывал, что это произойдет где-то в ближайшие два месяца, но позже изменил ориентировочную дату выпуска новой версии на начало июня.

«Чтобы уточнить, «в течение следующих двух месяцев» имелось в виду верхняя граница», — сказал Райхл. «Реалистичная оценка выпуска KeePass 2.54, вероятно, «в начале июня» (т.е. 2-3 недели), но я не могу этого гарантировать».

Вопросы о безопасности диспетчера паролей

Для пользователей KeePass это второй раз за последние месяцы, когда исследователи обнаружили проблему безопасности в программном обеспечении. В феврале исследователь Алекс Эрнандес показал, как злоумышленник с доступом для записи в XML-файл конфигурации KeePass может редактировать его таким образом, чтобы извлекать пароли в открытом виде из базы данных паролей и экспортировать их на сервер, контролируемый злоумышленниками.

Хотя уязвимости был присвоен формальный идентификатор (CVE-2023-24055), сам KeePass оспаривал это описание и поддерживаемый менеджер паролей не предназначен для защиты от атак со стороны кого-то, кто уже имеет высокий уровень доступа на локальном ПК.

«Ни один менеджер паролей не является безопасным для использования, когда операционная среда скомпрометирована злоумышленником», — отметил тогда KeePass. «Для большинства пользователей установка KeePass по умолчанию безопасна при работе в своевременно исправленной, правильно управляемой и ответственно используемой среде Windows».

Новая уязвимость KeyPass, вероятно, поддержит дискуссии о безопасности менеджера паролей еще некоторое время. В последние месяцы произошло несколько инцидентов, выявивших проблемы безопасности, связанные с основными технологиями управления паролями. В декабре, например, LastPass раскрыл инцидент где злоумышленник, используя учетные данные предыдущего вторжения в компанию, получил доступ к данным клиентов, хранящимся у стороннего поставщика облачных услуг.

В январе исследователи в Google предупредил о менеджерах паролей, таких как Bitwarden, Dashlane и Safari Password Manager, автоматически заполняющих учетные данные пользователя без каких-либо запросов на ненадежные страницы.

Тем временем злоумышленники активизировали атаки на продукты для управления паролями, вероятно, из-за таких проблем.

В январе Bitwarden и 1Password сообщили о наблюдении платная реклама в результатах поиска Google, которая направляла пользователей, открывших рекламу, на сайты для загрузки поддельных версий своих менеджеров паролей.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
• Чеканка будущего с Эдриенн Эшли. Доступ здесь.
• Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords