I løpet av helgen ble passordadministrasjonsverktøyet KeePass oppdatert for å adressere en alvorlig sårbarhet som tillot trusselaktører å eksfiltrere hovedpassordet i klartekst.
Brukere med KeePass versjon 2.x anbefales å bringe instansene sine til versjon 2.54 for å eliminere trusselen. De som bruker KeePass 1.x, Strongbox eller KeePass XC, er ikke sårbare for feilen og trenger derfor ikke å migrere til den nye versjonen hvis de ikke vil.
De som av en eller annen grunn ikke kan bruke oppdateringen, bør tilbakestille hovedpassordet, slette krasjdumper og dvalefiler og bytte filer som kan inneholde deler av hovedpassordet. I mer ekstreme tilfeller kan de installere operativsystemet på nytt.
Rester av strenger
I midten av mai ble det kunngjort at passordbehandlingsverktøyet var sårbart for CVE-2023-32784, en feil som tillot trusselaktører å delvis trekke ut KeePass-hovedpassordet fra applikasjonens minnedump. Hovedpassordet kommer i klartekst. Sårbarheten ble oppdaget av en trusselforsker under aliaset "vdohney", som også ga ut et proof-of-concept for feilen.
Som forklart av forskeren, ble problemet funnet i SecureTextBoxEx: "På grunn av måten den behandler inndata på, vil det være rester av strenger når brukeren skriver inn passordet," sa de. "For eksempel, når "Passord" skrives, vil det resultere i disse gjenværende strengene: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d."
Følgelig vil en angriper kunne gjenopprette nesten alle hovedpassordtegnene, selv om arbeidsområdet er låst, eller programmet nylig ble stengt.
I teorien kan en trusselaktør distribuere en infostealer eller en lignende malware-variant for å dumpe programmets minne og sende det, sammen med passordbehandlerens database, tilbake til en server under angriperens kontroll.
Derfra vil de kunne eksfiltrere hovedpassordet uten å bli tidspresset. Med passordbehandlere brukes et hovedpassord for å dekryptere og få tilgang til databasen som inneholder alle andre passord.
Via: BleepingComputer