No fim de semana, a ferramenta de gerenciamento de senhas KeePass foi atualizada para lidar com uma vulnerabilidade de alta gravidade que permitia aos agentes de ameaças exfiltrar a senha mestra em texto não criptografado.
Os usuários com KeePass versões 2.x são aconselhados a trazer suas instâncias para a versão 2.54 para eliminar a ameaça. Aqueles que usam KeePass 1.x, Strongbox ou KeePass XC não são vulneráveis à falha e, portanto, não precisam migrar para a nova versão, se não quiserem.
Aqueles que não puderem aplicar o patch por qualquer motivo devem redefinir sua senha mestra, excluir despejos de memória e arquivos de hibernação e trocar arquivos que possam conter partes de sua senha mestra. Em casos mais extremos, eles podem reinstalar o sistema operacional.
Restos de strings
Em meados de maio, foi anunciado que a ferramenta de gerenciamento de senhas era vulnerável ao CVE-2023-32784, uma falha que permitia que os invasores extraíssem parcialmente a senha mestra KeePass do despejo de memória do aplicativo. A senha mestra viria em texto não criptografado. A vulnerabilidade foi descoberta por um pesquisador de ameaças conhecido como “vdohney”, que também divulgou uma prova de conceito para a falha.
Conforme explicado pelo pesquisador, o problema foi encontrado no SecureTextBoxEx: “Devido à forma como ele processa a entrada, quando o usuário digitar a senha, sobrarão strings”, disseram eles. “Por exemplo, quando “Senha” é digitado, isso resultará nas seguintes strings: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”
Conseqüentemente, um invasor seria capaz de recuperar quase todos os caracteres da senha mestra, mesmo se o espaço de trabalho estiver bloqueado ou se o programa tiver sido encerrado recentemente.
Em teoria, um agente de ameaça poderia implantar um infostealer ou uma variante de malware semelhante para despejar a memória do programa e enviá-la, junto com o banco de dados do gerenciador de senhas, de volta para um servidor sob o controle do invasor.
A partir daí, eles seriam capazes de exfiltrar a senha mestra sem serem pressionados pelo tempo. Com gerenciadores de senhas, uma senha mestra é usada para descriptografar e acessar o banco de dados contendo todas as outras senhas.
via: BleepingComputer
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba