Am Wochenende wurde das Passwortverwaltungstool KeePass aktualisiert, um eine hochgradige Sicherheitslücke zu schließen, die es Bedrohungsakteuren ermöglichte, das Master-Passwort im Klartext auszuschleusen.
Benutzern mit KeePass-Versionen 2.x wird empfohlen, ihre Instanzen auf Version 2.54 zu aktualisieren, um die Bedrohung zu beseitigen. Diejenigen, die KeePass 1.x, Strongbox oder KeePass XC verwenden, sind nicht anfällig für den Fehler und müssen daher nicht auf die neue Version migrieren, wenn sie dies nicht möchten.
Diejenigen, die den Patch aus irgendeinem Grund nicht anwenden können, sollten ihr Master-Passwort zurücksetzen, Absturz-Dumps und Ruhezustandsdateien löschen und Dateien austauschen, die Teile ihres Master-Passworts enthalten könnten. In extremeren Fällen könnten sie ihr Betriebssystem neu installieren.
Übrig gebliebene Saiten
Mitte Mai wurde bekannt gegeben, dass das Passwortverwaltungstool anfällig für CVE-2023-32784 ist, eine Schwachstelle, die es Bedrohungsakteuren ermöglicht, das KeePass-Master-Passwort teilweise aus dem Speicherauszug der Anwendung zu extrahieren. Das Master-Passwort würde im Klartext vorliegen. Die Schwachstelle wurde von einem Bedrohungsforscher unter dem Pseudonym „vdohney“ entdeckt, der auch einen Proof-of-Concept für die Schwachstelle veröffentlichte.
Wie der Forscher erklärte, wurde das Problem in SecureTextBoxEx gefunden: „Aufgrund der Art und Weise, wie es Eingaben verarbeitet, bleiben beim Eingeben des Passworts durch den Benutzer übrig“, sagten sie. „Wenn Sie beispielsweise „Passwort“ eingeben, werden folgende übrig gebliebene Zeichenfolgen angezeigt: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.“
Folglich wäre ein Angreifer in der Lage, fast alle Hauptkennwortzeichen wiederherzustellen, selbst wenn der Arbeitsbereich gesperrt ist oder das Programm kürzlich beendet wurde.
Theoretisch könnte ein Bedrohungsakteur einen Infostealer oder eine ähnliche Malware-Variante einsetzen, um den Programmspeicher zu löschen und ihn zusammen mit der Datenbank des Passwort-Managers an einen Server unter der Kontrolle des Angreifers zurückzusenden.
Von dort aus könnten sie das Master-Passwort ohne Zeitdruck herausfiltern. Bei Passwort-Managern wird ein Master-Passwort verwendet, um die Datenbank mit allen anderen Passwörtern zu entschlüsseln und darauf zuzugreifen.
Via: PiependerComputer
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba