Savaitgalį slaptažodžių valdymo įrankis „KeePass“ buvo atnaujintas, kad būtų pašalintas didelio pažeidžiamumas, dėl kurio grėsmės veikėjai galėjo išfiltruoti pagrindinį slaptažodį aiškiu tekstu.
Vartotojams, turintiems KeePass 2.x versijas, patariama perkelti savo egzempliorius į 2.54 versiją, kad būtų pašalinta grėsmė. Tie, kurie naudoja „KeePass 1.x“, „Strongbox“ arba „KeePass XC“, nėra pažeidžiami dėl trūkumo, todėl jiems nereikia pereiti prie naujos versijos, jei jie to nenori.
Tie, kurie dėl kokių nors priežasčių negali pritaikyti pataisos, turėtų iš naujo nustatyti pagrindinį slaptažodį, ištrinti strigčių ištraukas ir užmigdymo failus bei apsikeisti failais, kuriuose gali būti pagrindinės slaptažodžio dalys. Ekstremalesniais atvejais jie gali iš naujo įdiegti operacinę sistemą.
Likusios stygos
Gegužės viduryje buvo paskelbta, kad slaptažodžių valdymo įrankis buvo pažeidžiamas CVE-2023-32784, o tai leido grėsmės veikėjams iš dalies išgauti pagrindinį „KeePass“ slaptažodį iš programos atminties išklotinės. Pagrindinis slaptažodis būtų pateiktas aiškiu tekstu. Pažeidžiamumą aptiko grėsmių tyrinėtojas, slapyvardžiu „vdohney“, kuris taip pat išleido trūkumo koncepcijos įrodymą.
Kaip paaiškino tyrėjas, problema buvo rasta „SecureTextBoxEx“: „Dėl to, kaip jis apdoroja įvestį, kai vartotojas įveda slaptažodį, bus likusių eilučių“, - sakė jie. „Pavyzdžiui, kai įvedamas „Slaptažodis“, bus šios likusios eilutės: •a, ••s, •••s, ••••w, •••••o, •••••• r, ••••••••d.
Todėl užpuolikas galėtų atkurti beveik visus pagrindinio slaptažodžio simbolius, net jei darbo sritis užrakinta arba programa neseniai buvo išjungta.
Teoriškai grėsmės veikėjas gali įdiegti informacijos vagystę ar panašų kenkėjiškos programos variantą, kad išmestų programos atmintį ir išsiųstų ją kartu su slaptažodžių tvarkyklės duomenų baze atgal į užpuoliko valdomą serverį.
Iš ten jie galėtų išfiltruoti pagrindinį slaptažodį, neleisdami laiko. Naudojant slaptažodžių tvarkykles, pagrindinis slaptažodis naudojamas iššifruoti ir pasiekti duomenų bazę, kurioje yra visi kiti slaptažodžiai.
"Via: BleepingComputer