KeePass Güvenlik Açığı Ana Parolaları Tehlikeye Atıyor

Son aylarda ikinci kez bir güvenlik araştırmacısı, yaygın olarak kullanılan KeePass açık kaynaklı şifre yöneticisinde bir güvenlik açığı keşfetti.

Bu, Windows, Linux ve macOS için KeePass 2.X sürümlerini etkiler ve saldırganlara, kullanıcının çalışma alanı kapalıyken bile bir hedefin ana parolasını bir bellek dökümünden açık metin olarak alma yolu sunar.

KeePass'ın bakıcısı kusur için bir düzeltme geliştirmiş olsa da, 2.54 sürümünün yayınlanmasına kadar (muhtemelen Haziran başında) genel kullanıma sunulmayacak. Bu arada, güvenlik açığını keşfeden araştırmacı — şu şekilde takip edildi: CVE-2023-32784 - Çoktan bir konsept kanıtı yayınladı bunun için GitHub'da.

GitHub'da güvenlik araştırmacısı "vdhoney", "Hedef sistemde kod yürütülmesi gerekmez, yalnızca bir bellek dökümü gerekir" dedi. "Belleklerin nereden geldiği önemli değil — tüm sistemin işlem dökümü, takas dosyası (pagefile.sys), hazırda bekletme dosyası (hiberfil.sys) veya RAM dökümü olabilir."

Araştırmacı, yerel kullanıcı çalışma alanını kilitlese ve KeePass artık çalışmıyor olsa bile bir saldırganın ana parolayı ele geçirebileceğini söyledi.

Vdhoney, güvenlik açığını yalnızca ana bilgisayarın dosya sistemine veya RAM'ine okuma erişimi olan bir saldırganın yararlanabileceği bir güvenlik açığı olarak tanımladı. Ancak çoğu zaman bu, bir saldırganın bir sisteme fiziksel erişimi olmasını gerektirmez. Uzak saldırganlar, bu tür erişimleri bu günlerde güvenlik açıklarından yararlanma, kimlik avı saldırıları, uzaktan erişim Truva Atları ve diğer yöntemlerle rutin olarak elde etmektedir.

Araştırmacı, "Sofistike biri tarafından özel olarak hedef alınmayı beklemiyorsanız, sakin kalırım" diye ekledi.

Vdhoney, güvenlik açığının, "SecureTextBoxEx" adı verilen şifreleri girmek için bir KeyPass özel kutusunun kullanıcı girişini nasıl işlediğiyle ilgili olduğunu söyledi. Araştırmacı, kullanıcı bir parola yazdığında, bir saldırganın parolayı açık metin olarak yeniden birleştirmesine izin veren artık dizeler olduğunu söyledi. “Örneğin, 'Parola' yazıldığında, şu artık dizilerle sonuçlanacaktır: •a, ••s, •••s, ••••w, ••••••o, •••••• r, •••••••d.”

Haziran Başında Yama

İçinde SourceForge'daki tartışma dizisi, KeePass yöneticisi Dominik Reichl sorunu kabul etti ve sorunu çözmek için parola yöneticisinde iki geliştirme uyguladığını söyledi.

Reichel, geliştirmelerin diğer güvenlikle ilgili özelliklerle birlikte bir sonraki KeePass sürümüne (2.54) dahil edileceğini söyledi. Başlangıçta bunun önümüzdeki iki ay içinde gerçekleşeceğini belirtti, ancak daha sonra yeni sürüm için tahmini teslim tarihini Haziran başı olarak revize etti.

Reichl, "Açıklığa kavuşturmak gerekirse, 'önümüzdeki iki ay içinde' üst sınır anlamına geliyordu," dedi. "KeePass 2.54 sürümü için gerçekçi bir tahmin muhtemelen 'Haziran başında'dır (yani 2-3 hafta), ancak bunu garanti edemem."

Password Manager Güvenliği Hakkında Sorular

KeePass kullanıcıları için bu, son aylarda araştırmacıların yazılımla ilgili bir güvenlik sorununu ikinci kez ortaya çıkarışı. Şubat ayında, araştırmacı Alex Hernandez nasıl bir saldırgan olduğunu gösterdi KeePass'ın XML konfigürasyon dosyasına yazma erişimi ile şifre veri tabanından şifresiz metin şifreleri alacak ve saldırgan tarafından kontrol edilen bir sunucuya sessizce aktaracak şekilde düzenleyebilir.

Güvenlik açığına resmi bir tanımlayıcı atanmasına rağmen (CVE-2023-24055), KeePass'ın kendisi bu açıklamaya itiraz etti ve parola yöneticisinin, yerel bir bilgisayarda zaten yüksek düzeyde erişime sahip olan birinden gelecek saldırılara dayanacak şekilde tasarlanmadığını belirtti.

KeePass o sırada "Çalışma ortamı kötü niyetli bir aktör tarafından ele geçirildiğinde hiçbir parola yöneticisinin kullanımı güvenli değildir" demişti. "Çoğu kullanıcı için KeePass'ın varsayılan kurulumu, zamanında yamalı, uygun şekilde yönetilen ve sorumlu bir şekilde kullanılan bir Windows ortamında çalışırken güvenlidir."

Yeni KeyPass güvenlik açığı, parola yöneticisi güvenliği hakkındaki tartışmaları bir süre daha canlı tutabilir. Son aylarda, büyük parola yöneticisi teknolojileriyle ilgili güvenlik sorunlarının altını çizen birkaç olay oldu. Örneğin Aralık ayında, LastPass bir olayı ifşa etti şirketteki önceki bir izinsiz girişin kimlik bilgilerini kullanan bir tehdit aktörünün, üçüncü taraf bir bulut hizmeti sağlayıcısında saklanan müşteri verilerine eriştiği yer.

Ocak ayında, Google'da araştırmacılar Bitwarden, Dashlane ve Safari Password Manager gibi parola yöneticilerinin kullanıcı kimlik bilgilerini güvenilmeyen sayfalara yönlendirilmeden otomatik olarak doldurması konusunda uyardı.

Bu arada tehdit aktörleri, muhtemelen bu tür sorunların bir sonucu olarak parola yöneticisi ürünlerine yönelik saldırıları artırdı.

Ocak ayında, Bitwarden ve 1Password gözlem yaptığını bildirdi Google arama sonuçlarında, reklamları açan kullanıcıları şifre yöneticilerinin sahte sürümlerini indirmek için sitelere yönlendiren ücretli reklamlar.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
• Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
• PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
• Kaynak: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords