Tokom vikenda, alat za upravljanje lozinkama KeePass je ažuriran kako bi se riješio ranjivost visoke ozbiljnosti koja je omogućila akterima prijetnji da eksfiltriraju glavnu lozinku u čistom tekstu.
Korisnicima s KeePass verzijama 2.x savjetujemo da svoje instance prenesu na verziju 2.54 kako bi eliminirali prijetnju. Oni koji koriste KeePass 1.x, Strongbox ili KeePass XC, nisu ranjivi na nedostatak i stoga ne moraju migrirati na novu verziju, ako to ne žele.
Oni koji ne mogu primijeniti zakrpu iz bilo kojeg razloga trebali bi poništiti svoju glavnu lozinku, izbrisati dumpove i datoteke hibernacije i zamijeniti datoteke koje bi mogle sadržavati dijelove njihove glavne lozinke. U ekstremnijim slučajevima, mogli bi ponovo instalirati svoj operativni sistem.
Preostale žice
Sredinom maja objavljeno je da je alat za upravljanje lozinkama ranjiv na CVE-2023-32784, grešku koja je omogućila akterima prijetnji da djelimično izvuku KeePass glavnu lozinku iz memorijskog deponija aplikacije. Glavna lozinka bi dolazila u čistom tekstu. Ranjivost je otkrio istraživač prijetnji pod pseudonimom "vdohney", koji je također objavio dokaz o konceptu za nedostatak.
Kako je objasnio istraživač, problem je pronađen u SecureTextBoxEx-u: „Zbog načina na koji obrađuje unos, kada korisnik unese lozinku, ostat će preostali nizovi“, rekli su. “Na primjer, kada se upiše “Lozinka”, to će rezultirati ovim preostalim nizovima: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”
Posljedično, napadač bi mogao oporaviti gotovo sve znakove glavne lozinke, čak i ako je radni prostor zaključan ili je program nedavno ugašen.
U teoriji, akter prijetnje mogao bi primijeniti infostealer ili sličnu varijantu zlonamjernog softvera kako bi izbacio memoriju programa i poslao je, zajedno s bazom podataka upravitelja lozinki, nazad na server pod kontrolom napadača.
Odatle bi mogli da eksfiltriraju glavnu lozinku bez pritiska na vrijeme. Kod menadžera lozinki, glavna lozinka se koristi za dešifriranje i pristup bazi podataka koja sadrži sve ostale lozinke.
Via: BleepingComputer
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba