Hafta sonu boyunca, şifre yönetimi aracı KeePass, tehdit aktörlerinin ana şifreyi açık metin olarak sızdırmasına olanak tanıyan yüksek önemdeki bir güvenlik açığını giderecek şekilde güncellendi.
KeePass sürüm 2.x'e sahip kullanıcıların, tehdidi ortadan kaldırmak için bulut sunucularını sürüm 2.54'e getirmeleri önerilir. KeePass 1.x, Strongbox veya KeePass XC kullananlar bu kusura karşı savunmasız değildir ve bu nedenle istemezlerse yeni sürüme geçmeleri gerekmez.
Herhangi bir nedenle yamayı uygulayamayanlar ana parolalarını sıfırlamalı, kilitlenme dökümlerini ve hazırda bekletme dosyalarını silmeli ve ana parolalarının parçalarını tutabilecek dosyaları değiştirmelidir. Daha ekstrem durumlarda işletim sistemlerini yeniden kurabilirler.
Artık dizeler
Mayıs ortasında, şifre yönetimi aracının, tehdit aktörlerinin KeePass ana şifresini uygulamanın bellek dökümünden kısmen çıkarmasına olanak tanıyan bir kusur olan CVE-2023-32784'e karşı savunmasız olduğu açıklandı. Ana şifre açık metin olarak gelecektir. Güvenlik açığı, "vdohney" takma adını kullanan bir tehdit araştırmacısı tarafından keşfedildi ve aynı zamanda kusur için bir kavram kanıtı da yayınladı.
Araştırmacının açıkladığı gibi sorun SecureTextBoxEx'te bulundu: "Girdileri işleme şekli nedeniyle, kullanıcı şifreyi yazdığında kalan dizeler olacak" dediler. “Örneğin, “Şifre” yazıldığında, şu kalan dizeler ortaya çıkacaktır: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”
Sonuç olarak, bir saldırgan, çalışma alanı kilitli olsa veya program yakın zamanda kapatılmış olsa bile neredeyse tüm ana parola karakterlerini kurtarabilir.
Teorik olarak, bir tehdit aktörü, programın belleğini boşaltmak ve parola yöneticisinin veritabanıyla birlikte saldırganın kontrolü altındaki bir sunucuya geri göndermek için bir bilgi hırsızı veya benzer bir kötü amaçlı yazılım türevi dağıtabilir.
Oradan, zaman kısıtlamasına gerek kalmadan ana şifreyi dışarı sızdırabilecekler. Parola yöneticilerinde, diğer tüm parolaların bulunduğu veritabanının şifresini çözmek ve bu veritabanına erişmek için bir ana parola kullanılır.
Via BleepingComputer