Вразливість KeePass загрожує головним паролям

Вдруге за останні місяці дослідник безпеки виявив уразливість у широко використовуваному менеджері паролів з відкритим кодом KeePass.

Це впливає на версії KeePass 2.X для Windows, Linux і macOS і дає зловмисникам можливість отримати головний пароль цільової цілі у відкритому вигляді з дампа пам’яті — навіть коли робоче середовище користувача закрито.

Хоча супроводжувач KeePass розробив виправлення недоліку, він не стане загальнодоступним до випуску версії 2.54 (імовірно, на початку червня). Тим часом дослідник, який виявив уразливість — відслідковується як CVE-2023-32784 — вже має випустив доказ концепції для нього на GitHub.

«Виконання коду в цільовій системі не потрібне, лише дамп пам’яті», — сказав дослідник безпеки «vdhoney» на GitHub. «Немає значення, звідки надходить пам’ять — це може бути дамп процесу, файл підкачки (pagefile.sys), файл сплячого режиму (hiberfil.sys) або дамп оперативної пам’яті всієї системи».

За словами дослідника, зловмисник може отримати головний пароль, навіть якщо локальний користувач заблокував робочий простір і навіть після того, як KeePass більше не працює.

Vdhoney описав уразливість як таку, якою зможе скористатися лише зловмисник із доступом на читання до файлової системи або оперативної пам’яті хоста. Однак часто для цього не потрібно, щоб зловмисник мав фізичний доступ до системи. У наш час віддалені зловмисники регулярно отримують такий доступ за допомогою використання вразливостей, фішингових атак, троянських програм віддаленого доступу та інших методів.

«Якщо ви не очікуєте, що на вас спеціально націлиться хтось досвідчений, я б зберігав спокій», — додав дослідник.

Vdhoney сказав, що вразливість пов’язана з тим, як спеціальне вікно KeyPass для введення паролів під назвою «SecureTextBoxEx» обробляє введені користувачем дані. Коли користувач вводить пароль, залишаються залишкові рядки, які дозволяють зловмиснику повторно зібрати пароль у відкритому тексті, сказав дослідник. «Наприклад, коли вводиться «Пароль», це призведе до таких залишкових рядків: •a, ••s, •••s, ••••w, •••••o, •••••• r, ••••••••d.”

Латка на початку червня

В тема обговорення на SourceForge, супроводжувач KeePass Домінік Райхль визнав проблему та сказав, що реалізував два вдосконалення менеджера паролів для вирішення проблеми.

Покращення будуть включені в наступний випуск KeePass (2.54) разом з іншими функціями, пов’язаними з безпекою, сказав Райхель. Спочатку він зазначив, що це станеться десь протягом наступних двох місяців, але пізніше переглянув приблизну дату доставки нової версії на початок червня.

«Щоб уточнити, «протягом наступних двох місяців» означало верхню межу», — сказав Райхль. «Реалістична оцінка випуску KeePass 2.54, ймовірно, «на початку червня» (тобто 2-3 тижні), але я не можу цього гарантувати».

Запитання щодо безпеки менеджера паролів

Для користувачів KeePass це другий випадок за останні місяці, коли дослідники виявили проблему безпеки в програмному забезпеченні. У лютому дослідник Алекс Ернандес показав, як нападник з доступом на запис у XML-конфігураційний файл KeePass міг редагувати його таким чином, щоб отримати паролі в відкритому тексті з бази даних паролів і безшумно експортувати їх на контрольований зловмисником сервер.

Хоча вразливості було присвоєно формальний ідентифікатор (CVE-2023-24055), сам KeePass оскаржив цей опис і підтримується, що менеджер паролів не розроблений для протистояння атакам з боку тих, хто вже має високий рівень доступу на локальному ПК.

«Жоден менеджер паролів не є безпечним у використанні, якщо операційне середовище скомпрометовано зловмисником», — зазначав тоді KeePass. «Для більшості користувачів інсталяція KeePass за замовчуванням є безпечною, якщо вона працює в середовищі Window, яке своєчасно виправляється, належним чином керується та використовується відповідально».

Нова вразливість KeyPass, ймовірно, підтримуватиме дискусії щодо безпеки менеджера паролів ще деякий час. За останні місяці відбулося кілька інцидентів, які висвітлили проблеми безпеки, пов’язані з основними технологіями керування паролями. У грудні, наприклад, LastPass розкрив інцидент де зловмисник, використовуючи облікові дані від попереднього вторгнення в компанію, отримав доступ до даних клієнтів, що зберігаються у стороннього постачальника хмарних послуг.

У січні дослідники з Google попередив про те, що менеджери паролів, такі як Bitwarden, Dashlane і Safari Password Manager, автоматично заповнюють облікові дані користувача без будь-яких запитів на ненадійні сторінки.

Тим часом зловмисники посилили атаки на продукти диспетчера паролів, ймовірно, через такі проблеми.

У січні Bitwarden і 1Password повідомили про спостереження платна реклама в результатах пошуку Google, яка спрямовувала користувачів, які відкривали рекламу, на сайти для завантаження підроблених версій своїх менеджерів паролів.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
• Карбування майбутнього з Адріенн Ешлі. Доступ тут.
• Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
• джерело: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords