Второй раз за последние месяцы исследователь безопасности обнаружил уязвимость в широко используемом менеджере паролей с открытым исходным кодом KeePass.
Это влияет на версии KeePass 2.X для Windows, Linux и macOS и дает злоумышленникам возможность получить мастер-пароль цели в открытом виде из дампа памяти — даже когда рабочее пространство пользователя закрыто.
Хотя сопровождающий KeePass разработал исправление для этой уязвимости, оно не станет общедоступным до выпуска версии 2.54 (вероятно, в начале июня). Тем временем исследователь, обнаруживший уязвимость, отслеживается как CVE-2023-32784 - имеет уже выпустили пробную версию для этого на GitHub.
«Выполнение кода в целевой системе не требуется, только дамп памяти», — сказал исследователь безопасности «vdhoney» на GitHub. «Неважно, откуда берется память — это может быть дамп процесса, файл подкачки (pagefile.sys), файл гибернации (hiberfil.sys) или дамп ОЗУ всей системы».
По словам исследователя, злоумышленник может получить мастер-пароль, даже если локальный пользователь заблокировал рабочую область и даже после того, как KeePass больше не работает.
Vdhoney описал уязвимость как уязвимость, которую может использовать только злоумышленник, имеющий доступ для чтения к файловой системе или оперативной памяти хоста. Однако часто для этого злоумышленнику не требуется физический доступ к системе. Удаленные злоумышленники обычно получают такой доступ в наши дни с помощью эксплойтов уязвимостей, фишинговых атак, троянских программ удаленного доступа и других методов.
«Если вы не ожидаете, что кто-то искушенный станет мишенью для вас, я бы сохранял спокойствие», — добавил исследователь.
Vdhoney сказал, что уязвимость связана с тем, как пользовательское поле KeyPass для ввода паролей под названием «SecureTextBoxEx» обрабатывает вводимые пользователем данные. По словам исследователя, когда пользователь вводит пароль, остаются оставшиеся строки, которые позволяют злоумышленнику собрать пароль в открытом виде. «Например, когда набирается «Пароль», это приведет к следующим оставшимся строкам: •a, ••s, •••s, ••••w, •••••o, •••••• р, •••••••d».
Патч в начале июня
В ветка обсуждения на SourceForge, мейнтейнер KeePass Доминик Райхл признал наличие проблемы и сказал, что он реализовал два улучшения в диспетчере паролей для решения этой проблемы.
По словам Райхеля, эти улучшения будут включены в следующую версию KeePass (2.54) вместе с другими функциями, связанными с безопасностью. Первоначально он указывал, что это произойдет где-то в ближайшие два месяца, но позже изменил ориентировочную дату выпуска новой версии на начало июня.
«Чтобы уточнить, «в течение следующих двух месяцев» имелось в виду верхняя граница», — сказал Райхл. «Реалистичная оценка выпуска KeePass 2.54, вероятно, «в начале июня» (т.е. 2-3 недели), но я не могу этого гарантировать».
Вопросы о безопасности диспетчера паролей
Для пользователей KeePass это второй раз за последние месяцы, когда исследователи обнаружили проблему безопасности в программном обеспечении. В феврале исследователь Алекс Эрнандес показал, как злоумышленник с доступом для записи в XML-файл конфигурации KeePass может редактировать его таким образом, чтобы извлекать пароли в открытом виде из базы данных паролей и экспортировать их на сервер, контролируемый злоумышленниками.
Хотя уязвимости был присвоен формальный идентификатор (CVE-2023-24055), сам KeePass оспаривал это описание и поддерживаемый менеджер паролей не предназначен для защиты от атак со стороны кого-то, кто уже имеет высокий уровень доступа на локальном ПК.
«Ни один менеджер паролей не является безопасным для использования, когда операционная среда скомпрометирована злоумышленником», — отметил тогда KeePass. «Для большинства пользователей установка KeePass по умолчанию безопасна при работе в своевременно исправленной, правильно управляемой и ответственно используемой среде Windows».
Новая уязвимость KeyPass, вероятно, поддержит дискуссии о безопасности менеджера паролей еще некоторое время. В последние месяцы произошло несколько инцидентов, выявивших проблемы безопасности, связанные с основными технологиями управления паролями. В декабре, например, LastPass раскрыл инцидент где злоумышленник, используя учетные данные предыдущего вторжения в компанию, получил доступ к данным клиентов, хранящимся у стороннего поставщика облачных услуг.
В январе исследователи в Google предупредил о менеджерах паролей, таких как Bitwarden, Dashlane и Safari Password Manager, автоматически заполняющих учетные данные пользователя без каких-либо запросов на ненадежные страницы.
Тем временем злоумышленники активизировали атаки на продукты для управления паролями, вероятно, из-за таких проблем.
В январе Bitwarden и 1Password сообщили о наблюдении платная реклама в результатах поиска Google, которая направляла пользователей, открывших рекламу, на сайты для загрузки поддельных версий своих менеджеров паролей.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords
- :имеет
- :является
- :нет
- :куда
- $UP
- 7
- a
- в состоянии
- О нас
- доступ
- Доступ
- признанный
- актеры
- добавленный
- адрес
- объявления
- После
- против
- Alex
- позволять
- вдоль
- уже
- an
- и
- любой
- МЫ
- около
- AS
- назначенный
- At
- нападки
- доступен
- BE
- становиться
- начало
- Граница
- Коробка
- но
- by
- под названием
- CAN
- не могу
- закрыто
- облако
- код
- выходит
- Компания
- Ослабленный
- Конфигурация
- может
- Полномочия
- изготовленный на заказ
- клиент
- данные клиентов
- данным
- База данных
- Время
- Дней
- Декабрь
- По умолчанию
- поставка
- описано
- предназначенный
- развитый
- открытый
- обсуждение
- do
- приносит
- дамп
- e
- Рано
- улучшения
- входящий
- Весь
- Окружающая среда
- оценка
- Даже
- пример
- выполнение
- ожидать
- Эксплуатировать
- использует
- экспорт
- Особенности
- февраль
- Файл
- фиксированный
- недостаток
- Что касается
- формальный
- от
- Gain
- в общем
- GitHub
- дает
- Google Поиск
- гарантия
- было
- происходить
- Есть
- he
- High
- Выделенные
- кашель
- Как
- Однако
- HTTPS
- i
- идентификатор
- if
- в XNUMX году
- in
- включены
- указанный
- первоначально
- вход
- установка
- пример
- в
- вопрос
- вопросы
- IT
- саму трезвость
- январь
- JPG
- июнь
- всего
- Сохранить
- новее
- пережиток
- уровень
- Вероятно
- Linux
- локальным
- запертый
- дольше
- MacOS
- основной
- управляемого
- менеджер
- Менеджеры
- способ
- мастер
- Вопрос
- означает,
- Между тем
- Память
- методы
- месяцев
- БОЛЕЕ
- самых
- Новые
- следующий
- NIST
- нет
- отметил,
- of
- .
- on
- ONE
- только
- открытый
- с открытым исходным кодом
- открытый
- операционный
- or
- Другое
- выплачен
- Пароль
- Password Manager
- пароли
- PC
- фишинг
- фишинговые атаки
- физический
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- предыдущий
- вероятно
- Проблема
- процесс
- Процессы
- Продукция
- должным образом
- Недвижимости
- Оперативная память
- Читать
- реалистичный
- последний
- Связанный
- освободить
- удаленные
- удаленный доступ
- Сообщается
- требовать
- обязательный
- исследователь
- исследователи
- результат
- Итоги
- обычно
- Бег
- s
- Safari
- безопасный
- Сказал
- Поиск
- Во-вторых
- безопасность
- обслуживание
- Провайдер услуг
- несколько
- Сайтов
- Software
- некоторые
- Кто-то
- сложный
- Источник
- конкретно
- хранить
- такие
- обмен
- SYS
- система
- цель
- целевое
- технологии
- который
- Ассоциация
- их
- Там.
- Эти
- сторонние
- этой
- угроза
- время
- в
- два
- Типы
- непокрытый
- до
- использование
- используемый
- Информация о пользователе
- пользователей
- через
- версия
- с помощью
- уязвимость
- законопроект
- Путь..
- Недели
- когда
- КТО
- широко
- будете
- окна
- в
- без
- Выиграл
- бы
- записывать
- X
- XML
- Ты
- зефирнет