Afgelopen weekend werd de tool voor wachtwoordbeheer KeePass bijgewerkt om een zeer ernstige kwetsbaarheid aan te pakken waardoor bedreigingsactoren het hoofdwachtwoord in leesbare tekst konden exfiltreren.
Gebruikers met KeePass versie 2.x wordt geadviseerd om hun instances naar versie 2.54 te brengen om de dreiging te elimineren. Degenen die KeePass 1.x, Strongbox of KeePass XC gebruiken, zijn niet kwetsbaar voor de fout en hoeven dus niet naar de nieuwe versie te migreren als ze dat niet willen.
Degenen die de patch om welke reden dan ook niet kunnen toepassen, moeten hun hoofdwachtwoord opnieuw instellen, crashdumps en slaapstandbestanden verwijderen en bestanden uitwisselen die delen van hun hoofdwachtwoord kunnen bevatten. In meer extreme gevallen kunnen ze hun besturingssysteem opnieuw installeren.
Overgebleven snaren
Half mei werd aangekondigd dat de tool voor wachtwoordbeheer kwetsbaar was voor CVE-2023-32784, een fout waardoor cybercriminelen het KeePass-hoofdwachtwoord gedeeltelijk uit de geheugendump van de applicatie konden halen. Het hoofdwachtwoord zou in leesbare tekst verschijnen. De kwetsbaarheid werd ontdekt door een bedreigingsonderzoeker onder de alias “vdohney”, die ook een proof-of-concept voor de fout heeft vrijgegeven.
Zoals uitgelegd door de onderzoeker, werd het probleem gevonden in SecureTextBoxEx: "Vanwege de manier waarop het invoer verwerkt, zullen er, wanneer de gebruiker het wachtwoord typt, overgebleven tekenreeksen overblijven", zeiden ze. “Wanneer bijvoorbeeld “Wachtwoord” wordt getypt, resulteert dit in deze overgebleven tekenreeksen: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”
Bijgevolg zou een aanvaller bijna alle hoofdwachtwoordtekens kunnen achterhalen, zelfs als de werkruimte vergrendeld is of als het programma onlangs is afgesloten.
In theorie zou een bedreigingsacteur een infostealer of een soortgelijke malwarevariant kunnen inzetten om het geheugen van het programma te dumpen en dit, samen met de database van de wachtwoordbeheerder, terug te sturen naar een server onder controle van de aanvaller.
Van daaruit zouden ze het hoofdwachtwoord kunnen exfiltreren zonder dat er tijd voor nodig was. Bij wachtwoordmanagers wordt een hoofdwachtwoord gebruikt om de database met alle andere wachtwoorden te ontsleutelen en toegang te krijgen.
Via: BeginnersWeb