O víkendu byl aktualizován nástroj pro správu hesel KeePass, aby řešil velmi závažnou zranitelnost, která umožnila aktérům hrozeb proniknout do hlavního hesla v čistém textu.
Uživatelům s KeePass verze 2.x se doporučuje, aby převedli své instance na verzi 2.54, aby eliminovali hrozbu. Uživatelé KeePass 1.x, Strongbox nebo KeePass XC nejsou touto chybou zranitelní, a proto nemusí migrovat na novou verzi, pokud nechtějí.
Ti, kteří nemohou z jakéhokoli důvodu použít opravu, by měli resetovat své hlavní heslo, odstranit výpisy z havárie a soubory hibernace a vyměnit soubory, které by mohly obsahovat části jejich hlavního hesla. V extrémnějších případech by mohli přeinstalovat svůj operační systém.
Zbylé struny
V polovině května bylo oznámeno, že nástroj pro správu hesel je zranitelný vůči CVE-2023-32784, což je chyba, která umožnila aktérům hrozeb částečně extrahovat hlavní heslo KeePass z výpisu paměti aplikace. Hlavní heslo se zobrazí jako prostý text. Zranitelnost byla objevena výzkumníkem hrozeb pod přezdívkou „vdohney“, který také vydal důkaz o konceptu chyby.
Jak vysvětlil výzkumník, problém byl nalezen v SecureTextBoxEx: „Vzhledem k tomu, jak zpracovává vstup, když uživatel zadá heslo, zbydou řetězce,“ uvedli. „Například, když zadáte „Heslo“, výsledkem budou tyto zbývající řetězce: •a, ••s, •••s, ••••w, •••••o, •••••• r, ••••••••d.“
V důsledku toho by byl útočník schopen obnovit téměř všechny znaky hlavního hesla, i když je pracovní prostor uzamčen nebo byl program nedávno ukončen.
Teoreticky by aktér hrozby mohl nasadit infostealer nebo podobnou variantu malwaru, aby vyprázdnil paměť programu a poslal ji spolu s databází správce hesel zpět na server pod kontrolou útočníka.
Odtud by byli schopni proniknout hlavní heslo, aniž by je tlačil čas. U správců hesel se hlavní heslo používá k dešifrování a přístupu k databázi obsahující všechna ostatní hesla.
Ulice: BleepingComputer