KeePass Vulnerability Master Passwords کو متاثر کرتی ہے۔

حالیہ مہینوں میں دوسری بار ایک سیکورٹی محقق نے بڑے پیمانے پر استعمال ہونے والے KeePass اوپن سورس پاس ورڈ مینیجر میں ایک کمزوری کا پتہ لگایا ہے۔

یہ ونڈوز، لینکس اور میک او ایس کے لیے KeePass 2.X ورژنز کو متاثر کرتا ہے، اور حملہ آوروں کو میموری ڈمپ سے کلیئر ٹیکسٹ میں ہدف کا ماسٹر پاس ورڈ بازیافت کرنے کا طریقہ فراہم کرتا ہے — یہاں تک کہ جب صارف کی ورک اسپیس بند ہو۔

جبکہ KeePass کے مینٹینر نے اس خامی کو ٹھیک کر لیا ہے، لیکن یہ عام طور پر ورژن 2.54 کے اجراء تک دستیاب نہیں ہو گا (ممکنہ طور پر جون کے شروع میں)۔ دریں اثنا، محقق جس نے کمزوری کو دریافت کیا - بطور ٹریک CVE-2023-32784 - پہلے ہی تصور کا ثبوت جاری کیا۔ اس کے لیے GitHub پر۔

سیکورٹی محقق "vdhoney" نے GitHub پر کہا، "ٹارگٹ سسٹم پر کسی کوڈ پر عمل درآمد کی ضرورت نہیں ہے، صرف ایک میموری ڈمپ"۔ "اس سے کوئی فرق نہیں پڑتا ہے کہ میموری کہاں سے آتی ہے - پروسیس ڈمپ، سویپ فائل (pagefile.sys)، ہائبرنیشن فائل (hiberfil.sys)، یا پورے سسٹم کا RAM ڈمپ ہوسکتا ہے۔"

محقق نے کہا کہ حملہ آور ماسٹر پاس ورڈ کو دوبارہ حاصل کر سکتا ہے یہاں تک کہ اگر مقامی صارف نے ورک اسپیس کو لاک کر دیا ہو اور KeePass کے چلنے کے بعد بھی۔

Vdhoney نے اس خطرے کو ایک کے طور پر بیان کیا کہ میزبان کے فائل سسٹم یا RAM تک پڑھنے تک رسائی کے ساتھ صرف حملہ آور ہی فائدہ اٹھا سکتا ہے۔ تاہم، اکثر، اس کے لیے حملہ آور کو سسٹم تک جسمانی رسائی کی ضرورت نہیں ہوتی ہے۔ دور دراز کے حملہ آور ان دنوں معمول کے مطابق اس طرح کی رسائی کمزوری کے استحصال، فشنگ حملوں، ریموٹ ایکسیس ٹروجنز اور دیگر طریقوں سے حاصل کرتے ہیں۔

محقق نے مزید کہا، "جب تک کہ آپ کسی نفیس شخص سے خاص طور پر نشانہ بننے کی توقع نہیں رکھتے، میں پرسکون رہوں گا۔"

Vdhoney نے کہا کہ کمزوری کا تعلق اس بات سے ہے کہ کس طرح "SecureTextBoxEx" نامی پاس ورڈ درج کرنے کے لیے KeyPass کسٹم باکس صارف کے ان پٹ پر کارروائی کرتا ہے۔ محقق نے کہا کہ جب صارف پاس ورڈ ٹائپ کرتا ہے تو اس میں بچ جانے والی تاریں ہوتی ہیں جو حملہ آور کو کلیئر ٹیکسٹ میں پاس ورڈ کو دوبارہ جوڑنے کی اجازت دیتی ہیں۔ مثال کے طور پر، جب 'پاس ورڈ' ٹائپ کیا جاتا ہے، تو اس کے نتیجے میں یہ بچ جانے والی تاریں آئیں گی: •a, ••s, •••s, ••••w, •••••o, •••••• r، •••••••d۔

جون کے شروع میں پیچ

ایک SourceForge پر بحث کا موضوع, KeePass کے مینٹینر ڈومینک ریچل نے اس مسئلے کو تسلیم کیا اور کہا کہ اس نے اس مسئلے کو حل کرنے کے لیے پاس ورڈ مینیجر میں دو اضافہ کیا ہے۔

ریچل نے کہا کہ یہ اضافہ اگلے KeePass ریلیز (2.54) میں سیکیورٹی سے متعلق دیگر خصوصیات کے ساتھ شامل کیا جائے گا۔ اس نے ابتدائی طور پر اشارہ دیا کہ یہ اگلے دو مہینوں میں کسی وقت ہو جائے گا، لیکن بعد میں اس نے نئے ورژن کے لیے تخمینہ کی ترسیل کی تاریخ کو جون کے اوائل میں تبدیل کر دیا۔

"واضح کرنے کے لئے، 'اگلے دو مہینوں کے اندر' کا مطلب اوپری حد کے طور پر تھا،" ریچل نے کہا۔ "KeePass 2.54 کی ریلیز کا ایک حقیقت پسندانہ تخمینہ شاید 'جون کے آغاز میں' (یعنی 2-3 ہفتے) ہے، لیکن میں اس کی ضمانت نہیں دے سکتا۔"

پاس ورڈ مینیجر سیکیورٹی کے بارے میں سوالات

KeePass صارفین کے لیے، حالیہ مہینوں میں یہ دوسرا موقع ہے جب محققین نے سافٹ ویئر کے ساتھ سیکیورٹی کے مسئلے کا پردہ فاش کیا ہے۔ فروری میں، محقق الیکس Hernandez ایک حملہ آور نے دکھایا KeePass کی XML کنفیگریشن فائل تک تحریری رسائی کے ساتھ اس میں اس طرح ترمیم کی جاسکتی ہے کہ پاس ورڈ ڈیٹا بیس سے کلیئر ٹیکسٹ پاس ورڈز کو بازیافت کیا جاسکے اور اسے خاموشی سے حملہ آور کے کنٹرول والے سرور پر برآمد کیا جاسکے۔

اگرچہ خطرے کو ایک باضابطہ شناخت کنندہ تفویض کیا گیا تھا (CVE-2023-24055)، کیپاس خود اس وضاحت سے اختلاف کیا۔ اور برقرار رکھا پاس ورڈ مینیجر کسی ایسے شخص کے حملوں کا مقابلہ کرنے کے لیے نہیں بنایا گیا ہے جس کے پاس پہلے سے ہی مقامی پی سی پر اعلیٰ سطح کی رسائی ہے۔

KeePass نے اس وقت نوٹ کیا تھا کہ "جب آپریٹنگ ماحول کو کسی بدنیتی پر مبنی اداکار کے ذریعہ سمجھوتہ کیا جاتا ہے تو کوئی پاس ورڈ مینیجر استعمال کرنے کے لیے محفوظ نہیں ہے۔" "زیادہ تر صارفین کے لیے، KeePass کی ڈیفالٹ انسٹالیشن محفوظ ہوتی ہے جب بروقت پیچ شدہ، مناسب طریقے سے منظم، اور ذمہ داری کے ساتھ استعمال شدہ ونڈو ماحول پر چل رہا ہو۔"

نئے KeyPass خطرے سے پاس ورڈ مینیجر سیکیورٹی کے بارے میں بات چیت کو مزید کچھ وقت کے لیے زندہ رکھنے کا امکان ہے۔ حالیہ مہینوں میں، کئی ایسے واقعات ہوئے ہیں جنہوں نے پاس ورڈ مینیجر کی بڑی ٹیکنالوجیز سے متعلق سیکورٹی کے مسائل کو اجاگر کیا ہے۔ دسمبر میں، مثال کے طور پر، LastPass نے ایک واقعہ کا انکشاف کیا۔ جہاں ایک دھمکی آمیز اداکار، کمپنی میں سابقہ ​​دخل اندازی کی اسناد کا استعمال کرتے ہوئے، تیسرے فریق کلاؤڈ سروس فراہم کنندہ کے پاس ذخیرہ کردہ کسٹمر ڈیٹا تک رسائی حاصل کرتا ہے۔

جنوری میں، گوگل میں محققین پاس ورڈ مینیجرز جیسے بٹوارڈن، ڈیشلین، اور سفاری پاس ورڈ مینیجر کے بارے میں متنبہ کیا گیا ہے کہ غیر بھروسہ مند صفحات میں بغیر کسی اشارے کے صارف کی اسناد کو خود سے بھرنا ہے۔

اس دوران دھمکی آمیز اداکاروں نے پاس ورڈ مینیجر پروڈکٹس کے خلاف حملوں کو تیز کر دیا ہے، ممکنہ طور پر اس طرح کے مسائل کے نتیجے میں۔

جنوری میں، Bitwarden اور 1Password نے مشاہدہ کرنے کی اطلاع دی۔ گوگل کے تلاش کے نتائج میں ادا شدہ اشتہارات جو ان صارفین کو ہدایت دیتے ہیں جنہوں نے اپنے پاس ورڈ مینیجرز کے جعلی ورژن ڈاؤن لوڈ کرنے کے لیے سائٹس پر اشتہارات کھولے۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
• PREIPO® کے ساتھ PRE-IPO کمپنیوں میں حصص خریدیں اور بیچیں۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords