Ranljivost KeePass ogroža glavna gesla

Že drugič v zadnjih mesecih je varnostni raziskovalec odkril ranljivost v široko uporabljanem odprtokodnem upravitelju gesel KeePass.

Ta vpliva na različice KeePass 2.X za Windows, Linux in macOS in daje napadalcem način, da pridobijo ciljno glavno geslo v čistem besedilu iz pomnilniškega izpisa – tudi ko je uporabnikov delovni prostor zaprt.

Čeprav je vzdrževalec KeePass razvil popravek za napako, ne bo splošno dostopen do izdaje različice 2.54 (verjetno v začetku junija). Medtem je raziskovalec, ki je odkril ranljivost — sledil kot CVE-2023-32784 — je že izdal dokaz koncepta za to na GitHubu.

»V ciljnem sistemu ni potrebna nobena izvedba kode, le izpis pomnilnika,« je na GitHubu dejal varnostni raziskovalec »vdhoney«. "Ni pomembno, od kod prihaja pomnilnik - lahko je izpis procesa, izmenjevalna datoteka (pagefile.sys), datoteka mirovanja (hiberfil.sys) ali izpis RAM-a celotnega sistema."

Napadalec lahko pridobi glavno geslo, tudi če je lokalni uporabnik zaklenil delovni prostor in tudi potem, ko se KeePass ne izvaja več, je dejal raziskovalec.

Vdhoney je ranljivost opisal kot tisto, ki bi jo lahko izkoristil samo napadalec z dostopom za branje do gostiteljevega datotečnega sistema ali RAM-a. Pogosto pa to ne zahteva, da ima napadalec fizični dostop do sistema. Oddaljeni napadalci danes rutinsko pridobijo tak dostop prek izkoriščanja ranljivosti, napadov z lažnim predstavljanjem, trojancev za oddaljeni dostop in drugih metod.

"Razen če ne pričakujete, da vas bo nekdo izrecno usmeril, bi ostal miren," je dodal raziskovalec.

Vdhoney je dejal, da je ranljivost povezana s tem, kako polje po meri KeyPass za vnos gesel, imenovano "SecureTextBoxEx", obdeluje uporabniški vnos. Ko uporabnik vnese geslo, ostanejo nizi, ki napadalcu omogočajo, da ponovno sestavi geslo v čistem besedilu, je dejal raziskovalec. »Na primer, ko vtipkate 'Geslo', bodo prikazani ti preostali nizi: •a, ••s, •••s, ••••w, •••••o, •••••• r, ••••••••d.”

Popravek v začetku junija

V nit razprave na SourceForge, je vzdrževalec KeePass Dominik Reichl priznal težavo in dejal, da je uvedel dve izboljšavi upravitelja gesel za rešitev težave.

Izboljšave bodo vključene v naslednjo izdajo KeePass (2.54), skupaj z drugimi funkcijami, povezanimi z varnostjo, je dejal Reichel. Sprva je nakazal, da se bo to zgodilo nekje v naslednjih dveh mesecih, vendar je kasneje spremenil predvideni datum dobave nove različice na začetek junija.

"Če pojasnimo, 'v naslednjih dveh mesecih' je bila mišljena kot zgornja meja," je dejal Reichl. "Realna ocena za izdajo KeePass 2.54 je verjetno 'v začetku junija' (tj. 2-3 tedne), vendar tega ne morem zagotoviti."

Vprašanja o varnosti upravitelja gesel

Za uporabnike KeePass je to drugič v zadnjih mesecih, da so raziskovalci odkrili varnostno težavo s programsko opremo. Februarja raziskovalec Alex Hernandez pokazal, kako napadalec z dostopom za pisanje v konfiguracijsko datoteko XML KeePass bi jo lahko urejal tako, da bi pridobil gesla z jasnim besedilom iz baze podatkov gesel in jih tiho izvozil v strežnik, ki ga nadzoruje napadalec.

Čeprav je bil ranljivosti dodeljen formalni identifikator (CVE-2023-24055), sam KeePass oporekal temu opisu in vzdrževan upravitelj gesel ni zasnovan tako, da bi vzdržal napade nekoga, ki že ima visoko raven dostopa do lokalnega računalnika.

"Noben upravitelj gesel ni varen za uporabo, ko operacijsko okolje ogrozi zlonamerna oseba," je takrat opozoril KeePass. "Za večino uporabnikov je privzeta namestitev KeePass varna, če deluje v pravočasno popravljenem, pravilno upravljanem in odgovorno uporabljenem okolju Window."

Nova ranljivost KeyPass bo verjetno še nekaj časa ohranjala razprave o varnosti upravitelja gesel. V zadnjih mesecih je prišlo do več incidentov, ki so izpostavili varnostna vprašanja, povezana z glavnimi tehnologijami za upravljanje gesel. Decembra je npr. LastPass je razkril incident kjer je akter grožnje z uporabo poverilnic iz prejšnjega vdora v podjetje dostopal do podatkov strank, shranjenih pri tretjem ponudniku storitev v oblaku.

Januarja, raziskovalci pri Googlu opozoril na upravitelje gesel, kot so Bitwarden, Dashlane in Safari Password Manager, ki samodejno izpolnjujejo uporabniške poverilnice brez kakršnega koli poziva na nezaupljive strani.

Akterji groženj so medtem okrepili napade na izdelke za upravljanje gesel, verjetno zaradi takšnih težav.

Januarja, Bitwarden in 1Password sta poročala o opazovanju plačani oglasi v Googlovih rezultatih iskanja, ki so uporabnike, ki so odprli oglase, usmerjali na spletna mesta za prenos ponarejenih različic njihovih upraviteljev gesel.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
• Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
• Kupujte in prodajajte delnice podjetij pred IPO s PREIPO®. Dostopite tukaj.
• vir: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords