I løbet af weekenden blev adgangskodestyringsværktøjet KeePass opdateret for at adressere en alvorlig sårbarhed, som gjorde det muligt for trusselsaktører at eksfiltrere hovedadgangskoden i klartekst.
Brugere med KeePass version 2.x rådes til at bringe deres forekomster til version 2.54 for at eliminere truslen. Dem, der bruger KeePass 1.x, Strongbox eller KeePass XC, er ikke sårbare over for fejlen og behøver derfor ikke at migrere til den nye version, hvis de ikke vil.
De, der af en eller anden grund ikke kan anvende patchen, bør nulstille deres hovedadgangskode, slette crash-dumps og dvalefiler og bytte filer, der kan indeholde dele af deres hovedadgangskode. I mere ekstreme tilfælde kunne de geninstallere deres operativsystem.
Rester af strenge
I midten af maj blev det annonceret, at adgangskodestyringsværktøjet var sårbart over for CVE-2023-32784, en fejl, der gjorde det muligt for trusselsaktører delvist at udtrække KeePass-hovedadgangskoden fra applikationens hukommelsesdump. Hovedadgangskoden ville komme i klartekst. Sårbarheden blev opdaget af en trusselsforsker under aliaset "vdohney", som også udgav et proof-of-concept for fejlen.
Som forklaret af forskeren, blev problemet fundet i SecureTextBoxEx: "På grund af den måde, det behandler input, når brugeren indtaster adgangskoden, vil der være rester af strenge," sagde de. "Når f.eks. "Adgangskode" indtastes, vil det resultere i disse resterende strenge: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d."
Som følge heraf ville en angriber være i stand til at gendanne næsten alle hovedkodeordstegn, selvom arbejdsområdet er låst, eller programmet for nylig blev lukket ned.
I teorien kunne en trusselaktør implementere en infostealer eller en lignende malware-variant for at dumpe programmets hukommelse og sende den, sammen med password managerens database, tilbage til en server under angriberens kontrol.
Derfra ville de være i stand til at eksfiltrere hovedadgangskoden uden at blive presset på tid. Med adgangskodeadministratorer bruges en hovedadgangskode til at dekryptere og få adgang til databasen med alle andre adgangskoder.
via: BleepingComputer