W weekend narzędzie do zarządzania hasłami KeePass zostało zaktualizowane w celu wyeliminowania luki w zabezpieczeniach o dużej wadze, która umożliwiała cyberprzestępcom wykradanie hasła głównego w postaci zwykłego tekstu.
Użytkownikom posiadającym KeePass w wersji 2.x zaleca się przeniesienie swoich instancji do wersji 2.54 w celu wyeliminowania zagrożenia. Osoby korzystające z KeePass 1.x, Strongbox lub KeePass XC nie są podatne na tę lukę i dlatego nie muszą migrować do nowej wersji, jeśli nie chcą.
Osoby, które z jakiegokolwiek powodu nie mogą zastosować łatki, powinny zresetować swoje hasło główne, usunąć zrzuty awaryjne i pliki hibernacji oraz zamienić pliki, które mogą zawierać fragmenty ich hasła głównego. W bardziej ekstremalnych przypadkach mogą ponownie zainstalować system operacyjny.
Pozostały sznurki
W połowie maja ogłoszono, że narzędzie do zarządzania hasłami jest podatne na lukę CVE-2023-32784, która umożliwia cyberprzestępcom częściowe wyodrębnienie hasła głównego KeePass ze zrzutu pamięci aplikacji. Hasło główne będzie dostarczane w postaci zwykłego tekstu. Luka została odkryta przez badacza zagrożeń działającego pod pseudonimem „vdohney”, który opublikował również dowód słuszności koncepcji luki.
Jak wyjaśnił badacz, problem został wykryty w SecureTextBoxEx: „Ze względu na sposób, w jaki przetwarza dane wejściowe, gdy użytkownik wpisuje hasło, pozostają w nim ciągi znaków” – stwierdzili. „Na przykład, gdy zostanie wpisane „Hasło”, w wyniku zostaną pozostawione następujące ciągi: •a, ••s, •••s, ••••w, •••••o, •••••• r & D."
W rezultacie osoba atakująca będzie w stanie odzyskać prawie wszystkie znaki hasła głównego, nawet jeśli obszar roboczy jest zablokowany lub program został niedawno zamknięty.
Teoretycznie osoba zagrażająca może wdrożyć narzędzie kradnące informacje lub podobny wariant złośliwego oprogramowania, aby zrzucić pamięć programu i wysłać go wraz z bazą danych menedżera haseł z powrotem na serwer kontrolowany przez osobę atakującą.
Stamtąd będą mogli wydobyć hasło główne bez presji czasu. W przypadku menedżerów haseł hasło główne służy do odszyfrowywania i uzyskiwania dostępu do bazy danych zawierającej wszystkie pozostałe hasła.
Via: BleepingComputer
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba