Under helgen uppdaterades lösenordshanteringsverktyget KeePass för att åtgärda en allvarlig sårbarhet som gjorde det möjligt för hotaktörer att exfiltrera huvudlösenordet i klartext.
Användare med KeePass version 2.x rekommenderas att ta sina instanser till version 2.54 för att eliminera hotet. De som använder KeePass 1.x, Strongbox eller KeePass XC är inte sårbara för felet och behöver därför inte migrera till den nya versionen om de inte vill.
De som av någon anledning inte kan använda patchen bör återställa sitt huvudlösenord, ta bort kraschdumpar och vilolägesfiler och byta filer som kan innehålla delar av huvudlösenordet. I mer extrema fall kan de installera om sitt operativsystem.
Överblivna strängar
I mitten av maj tillkännagavs att lösenordshanteringsverktyget var sårbart för CVE-2023-32784, ett fel som gjorde det möjligt för hotaktörer att delvis extrahera KeePass-huvudlösenordet från programmets minnesdump. Huvudlösenordet skulle komma i klartext. Sårbarheten upptäcktes av en hotforskare under aliaset "vdohney", som också släppte ett proof-of-concept för felet.
Som förklarat av forskaren hittades problemet i SecureTextBoxEx: "På grund av hur det bearbetar indata, när användaren skriver lösenordet, kommer det att finnas överblivna strängar," sa de. "Till exempel, när "Lösenord" skrivs, kommer det att resultera i dessa överblivna strängar: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”
Följaktligen skulle en angripare kunna återställa nästan alla huvudlösenordstecken, även om arbetsytan är låst eller om programmet nyligen stängdes av.
I teorin kan en hotaktör distribuera en infostealer eller liknande malware-variant för att dumpa programmets minne och skicka det, tillsammans med lösenordshanterarens databas, tillbaka till en server under angriparens kontroll.
Därifrån skulle de kunna exfiltrera huvudlösenordet utan att behöva vara tidspressade. Med lösenordshanterare används ett huvudlösenord för att dekryptera och komma åt databasen som innehåller alla andra lösenord.
via: BleepingComputer