KeePass 漏洞危及主密码

KeePass 漏洞危及主密码

时间戳:18年2023月5日下午33:XNUMX
KeePass 漏洞危及主密码 PlatoBlockchain 数据智能。垂直搜索。人工智能。

近几个月来,安全研究人员第二次在广泛使用的 KeePass 开源密码管理器中发现漏洞。

这会影响适用于 Windows、Linux 和 macOS 的 KeePass 2.X 版本,并为攻击者提供一种从内存转储中以明文形式检索目标主密码的方法——即使用户的工作区已关闭。

虽然 KeePass 的维护者已经开发了针对该缺陷的修复程序,但它要等到 2.54 版(可能在 XNUMX 月初)发布后才会普遍可用。 与此同时,发现该漏洞的研究人员——被追踪为 CVE-2023-32784 ——已经 发布了概念验证 在 GitHub 上。

“不需要在目标系统上执行代码,只需内存转储,”安全研究员“vdhoney”在 GitHub 上说。 “内存的来源并不重要——可以是进程转储、交换文件 (pagefile.sys)、休眠文件 (hiberfil.sys) 或整个系统的 RAM 转储。”

研究人员表示,即使本地用户锁定了工作区,甚至在 KeePass 不再运行后,攻击者也可以检索主密码。

Vdhoney 将该漏洞描述为只有对主机文件系统或 RAM 具有读取权限的攻击者才能利用的漏洞。 然而,这通常不需要攻击者对系统进行物理访问。 如今,远程攻击者经常通过漏洞利用、网络钓鱼攻击、远程访问木马和其他方法获得此类访问权限。

“除非你预计会被老练的人专门针对,否则我会保持冷静,”研究人员补充道。

Vdhoney 表示,该漏洞与名为“SecureTextBoxEx”的用于输入密码的 KeyPass 自定义框如何处理用户输入有关。 研究人员说,当用户键入密码时,会留下一些字符串,让攻击者能够以明文形式重新组合密码。 “例如,当键入“密码”时,将产生以下剩余字符串:•a、••s、•••s、••••w、•••••o、•••••• r, •••••••d。”

六月初补丁

在一个 SourceForge 上的讨论线程,KeePass 维护者 Dominik Reichl 承认了这个问题,并表示他已经对密码管理器实施了两项增强来解决这个问题。

Reichel 说,这些增强功能将包含在下一个 KeePass 版本 (2.54) 中,以及其他与安全相关的功能。 他最初表示这将在未来两个月的某个时候发生,但后来将新版本的预计交付日期修改为 XNUMX 月初。

“澄清一下,'在接下来的两个月内'是指上限,”Reichl 说。 “KeePass 2.54 发布的现实估计可能是‘2 月初’(即 3-XNUMX 周),但我不能保证。”

关于密码管理器安全性的问题

对于 KeePass 用户来说,这是近几个月来研究人员第二次发现该软件存在安全问题。 XNUMX 月,研究员 Alex Hernandez 展示了攻击者如何 对 KeePass 的 XML 配置文件具有写入权限的人可以以某种方式对其进行编辑,以便从密码数据库中检索明文密码并将其静默导出到攻击者控制的服务器。

虽然漏洞被分配了一个正式的标识符(CVE-2023-24055), KeePass 本身 对这种描述提出异议 并维护了密码管理器的设计目的不是为了抵御已经在本地 PC 上具有高级别访问权限的人的攻击。

“当操作环境被恶意行为者破坏时,没有密码管理器可以安全使用,”KeePass 当时指出。 “对于大多数用户而言,在及时修补、正确管理和负责任地使用的 Windows 环境中运行时,默认安装的 KeePass 是安全的。”

新的 KeyPass 漏洞可能会让围绕密码管理器安全性的讨论再持续一段时间。 最近几个月,有几起事件凸显了与主要密码管理器技术相关的安全问题。 例如,在 XNUMX 月, LastPass 披露了一个事件 威胁行为者使用公司先前入侵的凭据访问存储在第三方云服务提供商处的客户数据。

今年一月, Google的研究人员 警告 Bitwarden、Dashlane 和 Safari 密码管理器等密码管理器会在不提示进入不受信任页面的情况下自动填充用户凭据。

与此同时,威胁行为者加大了对密码管理器产品的攻击力度,这可能是此类问题的结果。

今年一月, Bitwarden 和 1Password 报告观察到 Google 搜索结果中的付费广告将打开广告的用户引导至网站,以下载其密码管理器的欺骗版本。

时间戳记:

更多来自 暗读