W weekend narzędzie do zarządzania hasłami KeePass zostało zaktualizowane w celu wyeliminowania luki w zabezpieczeniach o dużej wadze, która umożliwiała cyberprzestępcom wykradanie hasła głównego w postaci zwykłego tekstu.
Użytkownikom posiadającym KeePass w wersji 2.x zaleca się przeniesienie swoich instancji do wersji 2.54 w celu wyeliminowania zagrożenia. Osoby korzystające z KeePass 1.x, Strongbox lub KeePass XC nie są podatne na tę lukę i dlatego nie muszą migrować do nowej wersji, jeśli nie chcą.
Osoby, które z jakiegokolwiek powodu nie mogą zastosować łatki, powinny zresetować swoje hasło główne, usunąć zrzuty awaryjne i pliki hibernacji oraz zamienić pliki, które mogą zawierać fragmenty ich hasła głównego. W bardziej ekstremalnych przypadkach mogą ponownie zainstalować system operacyjny.
Pozostały sznurki
W połowie maja ogłoszono, że narzędzie do zarządzania hasłami jest podatne na lukę CVE-2023-32784, która umożliwia cyberprzestępcom częściowe wyodrębnienie hasła głównego KeePass ze zrzutu pamięci aplikacji. Hasło główne będzie dostarczane w postaci zwykłego tekstu. Luka została odkryta przez badacza zagrożeń działającego pod pseudonimem „vdohney”, który opublikował również dowód słuszności koncepcji luki.
Jak wyjaśnił badacz, problem został wykryty w SecureTextBoxEx: „Ze względu na sposób, w jaki przetwarza dane wejściowe, gdy użytkownik wpisuje hasło, pozostają w nim ciągi znaków” – stwierdzili. „Na przykład, gdy zostanie wpisane „Hasło”, w wyniku zostaną pozostawione następujące ciągi: •a, ••s, •••s, ••••w, •••••o, •••••• r & D."
W rezultacie osoba atakująca będzie w stanie odzyskać prawie wszystkie znaki hasła głównego, nawet jeśli obszar roboczy jest zablokowany lub program został niedawno zamknięty.
Teoretycznie osoba zagrażająca może wdrożyć narzędzie kradnące informacje lub podobny wariant złośliwego oprogramowania, aby zrzucić pamięć programu i wysłać go wraz z bazą danych menedżera haseł z powrotem na serwer kontrolowany przez osobę atakującą.
Stamtąd będą mogli wydobyć hasło główne bez presji czasu. W przypadku menedżerów haseł hasło główne służy do odszyfrowywania i uzyskiwania dostępu do bazy danych zawierającej wszystkie pozostałe hasła.
Via: BleepingComputer