সপ্তাহান্তে, পাসওয়ার্ড ম্যানেজমেন্ট টুল KeePass একটি উচ্চ-তীব্রতার দুর্বলতা মোকাবেলা করার জন্য আপডেট করা হয়েছিল যা হুমকি অভিনেতাদেরকে স্পষ্ট পাঠ্যের মধ্যে মাস্টার পাসওয়ার্ড বের করার অনুমতি দেয়।
KeePass সংস্করণ 2.x সহ ব্যবহারকারীদের হুমকি দূর করতে তাদের উদাহরণ 2.54 সংস্করণে আনতে পরামর্শ দেওয়া হচ্ছে। যারা KeePass 1.x, Strongbox বা KeePass XC ব্যবহার করছেন, তারা ত্রুটির জন্য ঝুঁকিপূর্ণ নয় এবং তাই তাদের নতুন সংস্করণে স্থানান্তরিত করার প্রয়োজন নেই, যদি তারা না চান।
যারা যে কোন কারণে প্যাচ প্রয়োগ করতে পারে না তাদের মাস্টার পাসওয়ার্ড রিসেট করা উচিত, ক্র্যাশ ডাম্প এবং হাইবারনেশন ফাইলগুলি মুছে ফেলা উচিত এবং তাদের মাস্টার পাসওয়ার্ডের টুকরো ধারণ করতে পারে এমন ফাইলগুলি অদলবদল করা উচিত। আরও চরম ক্ষেত্রে, তারা তাদের অপারেটিং সিস্টেম পুনরায় ইনস্টল করতে পারে।
অবশিষ্ট স্ট্রিং
মে মাসের মাঝামাঝি সময়ে, এটি ঘোষণা করা হয়েছিল যে পাসওয়ার্ড ম্যানেজমেন্ট টুলটি CVE-2023-32784-এর জন্য ঝুঁকিপূর্ণ ছিল, একটি ত্রুটি যা হুমকি অভিনেতাদের অ্যাপ্লিকেশনের মেমরি ডাম্প থেকে আংশিকভাবে KeePass মাস্টার পাসওয়ার্ড বের করার অনুমতি দেয়। মাস্টার পাসওয়ার্ড ক্লিয়ারটেক্সটে আসবে। দুর্বলতাটি আবিষ্কৃত হয়েছে একজন হুমকি গবেষক ওরফে "vdohney" দ্বারা যাচ্ছেন, যিনি ত্রুটিটির জন্য একটি প্রমাণ-অব-ধারণাও প্রকাশ করেছিলেন।
গবেষকের দ্বারা ব্যাখ্যা করা হয়েছে, সমস্যাটি SecureTextBoxEx-এ পাওয়া গেছে: "যেভাবে এটি ইনপুট প্রক্রিয়া করে, ব্যবহারকারী যখন পাসওয়ার্ড টাইপ করে, সেখানে অবশিষ্ট স্ট্রিং থাকবে," তারা বলেছে। "উদাহরণস্বরূপ, যখন "পাসওয়ার্ড" টাইপ করা হয়, তখন এর ফলে এই অবশিষ্ট স্ট্রিংগুলি আসবে: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d৷
ফলস্বরূপ, একজন আক্রমণকারী প্রায় সমস্ত মাস্টার পাসওয়ার্ড অক্ষর পুনরুদ্ধার করতে সক্ষম হবে, এমনকি যদি কর্মক্ষেত্রটি লক করা থাকে, বা প্রোগ্রামটি সম্প্রতি বন্ধ হয়ে যায়।
তাত্ত্বিকভাবে, একজন হুমকি অভিনেতা প্রোগ্রামের মেমরি ডাম্প করার জন্য একটি ইনফোস্টিলার বা অনুরূপ ম্যালওয়্যার ভেরিয়েন্ট স্থাপন করতে পারে এবং এটিকে পাসওয়ার্ড ম্যানেজারের ডাটাবেসের সাথে, আক্রমণকারীর নিয়ন্ত্রণে থাকা একটি সার্ভারে ফেরত পাঠাতে পারে।
সেখান থেকে, তারা সময়ের জন্য চাপ না দিয়ে মাস্টার পাসওয়ার্ডটি এক্সফিল্ট করতে সক্ষম হবে। পাসওয়ার্ড ম্যানেজারগুলির সাথে, একটি মাস্টার পাসওয়ার্ড ডিক্রিপ্ট করতে এবং অন্যান্য সমস্ত পাসওয়ার্ড ধারণ করা ডাটাবেস অ্যাক্সেস করতে ব্যবহৃত হয়।
এর মাধ্যমে: BleepingComputer