Tokom vikenda, alat za upravljanje lozinkama KeePass je ažuriran kako bi se riješio ranjivost visoke ozbiljnosti koja je omogućila akterima prijetnji da eksfiltriraju glavnu lozinku u čistom tekstu.
Korisnicima s KeePass verzijama 2.x savjetujemo da svoje instance prenesu na verziju 2.54 kako bi eliminirali prijetnju. Oni koji koriste KeePass 1.x, Strongbox ili KeePass XC, nisu ranjivi na nedostatak i stoga ne moraju migrirati na novu verziju, ako to ne žele.
Oni koji ne mogu primijeniti zakrpu iz bilo kojeg razloga trebali bi poništiti svoju glavnu lozinku, izbrisati dumpove i datoteke hibernacije i zamijeniti datoteke koje bi mogle sadržavati dijelove njihove glavne lozinke. U ekstremnijim slučajevima, mogli bi ponovo instalirati svoj operativni sistem.
Preostale žice
Sredinom maja objavljeno je da je alat za upravljanje lozinkama ranjiv na CVE-2023-32784, grešku koja je omogućila akterima prijetnji da djelimično izvuku KeePass glavnu lozinku iz memorijskog deponija aplikacije. Glavna lozinka bi dolazila u čistom tekstu. Ranjivost je otkrio istraživač prijetnji pod pseudonimom "vdohney", koji je također objavio dokaz o konceptu za nedostatak.
Kako je objasnio istraživač, problem je pronađen u SecureTextBoxEx-u: „Zbog načina na koji obrađuje unos, kada korisnik unese lozinku, ostat će preostali nizovi“, rekli su. “Na primjer, kada se upiše “Lozinka”, to će rezultirati ovim preostalim nizovima: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”
Posljedično, napadač bi mogao oporaviti gotovo sve znakove glavne lozinke, čak i ako je radni prostor zaključan ili je program nedavno ugašen.
U teoriji, akter prijetnje mogao bi primijeniti infostealer ili sličnu varijantu zlonamjernog softvera kako bi izbacio memoriju programa i poslao je, zajedno s bazom podataka upravitelja lozinki, nazad na server pod kontrolom napadača.
Odatle bi mogli da eksfiltriraju glavnu lozinku bez pritiska na vrijeme. Kod menadžera lozinki, glavna lozinka se koristi za dešifriranje i pristup bazi podataka koja sadrži sve ostale lozinke.
Via: BleepingComputer