KeePass пусна версия 2.54, в която е поправена уязвимостта CVE-2023-32784, която позволява извличането на главната парола с ясен текст от паметта на приложението.
При създаването на нова база данни на мениджъра на пароли KeePass потребителите трябва да създадат главна парола, която се използва за криптиране на базата данни. При отваряне на базата данни в бъдеще от потребителите се изисква да въведат тази главна парола за декриптиране и достъп до данните, съхранявани в нея.
През май 2023 г. обаче изследователят по сигурността „vdohney“ разкри уязвимост и доказателство за концептуален експлойт, който позволява частично извличане на главната парола на KeepPass в ясен текст от дамп на паметта на приложението.
„Проблемът е в SecureTextBoxEx. Поради начина, по който той обработва входните данни, когато потребителят въведе паролата, ще има останали низове“, обясни vdohney в доклад за грешка в KeePass.
„Например, когато се въведе „PASSWORD“, това ще доведе до тези остатъчни низове: -a, –s, –s, –-w, ––o, ––r, ––-d.“
Този дъмпер позволява на потребителите да възстановят почти всички символи на главната парола, освен първите един или два, дори ако работното пространство на KeePass е заключено или програмата е била затворена наскоро.
Зловреден софтуер, който краде информация, или банди биха могли да използват тази техника, за да свалят паметта на програмата и да изпратят нея и базата данни на KeePass обратно към отдалечен сървър за офлайн извличане на паролата с ясен текст от свалената памет. След като изтеглят паролата, те могат да отворят базата данни с пароли на KeePass и да получат достъп до всички запазени данни за акаунти.
Създателят и основен разработчик на KeePass, Доминик Райхл, признава за дефекта и обещава скоро да пусне поправка, като вече е внедрил ефективно решение, което се тества в бета-вариантите.
През уикенда Reichl пусна KeePass 2.54 по-рано от очакваното и на всички потребители на клона 2.x се препоръчва да преминат към новата версия.
Потребителите на KeePass 1.x, Strongbox или KeePassXC не са засегнати от CVE-2023-32784 и следователно не е необходимо да преминават към по-нова версия.
За да се отстрани уязвимостта, KeePass вече използва API на Windows за задаване или извличане на данни от текстови полета, като предотвратява създаването на управлявани низове, които потенциално могат да бъдат изхвърлени от паметта.
Райхъл също така е въвел „фиктивни низове“ със случайни символи в паметта на процеса KeePass, за да затрудни извличането на фрагменти от паролата от паметта и комбинирането им във валидна главна парола.
KeePass 2.5.4 въвежда и други подобрения на сигурността, като например преместването на „Тригери“, „Глобални пренастройки на URL“ и „Профили на генератора на пароли“ в принудителния конфигурационен файл, което осигурява допълнителна защита от атаки, които променят конфигурационния файл на KeePass.
Ако тригерите, пренастройките и профилите не са съхранени в принудителната конфигурация, тъй като са били създадени с помощта на предишна версия, те ще бъдат деактивирани автоматично в 2.54 и потребителите ще трябва да ги активират ръчно от менюто за настройки „Инструменти“.
На потребителите, които не могат да преминат към KeePass 2.54, се препоръчва да възстановят основната си парола, да изтрияте всички дъмпове, файловете за хибернация и файловете за подмяна, които могат да съдържат фрагменти от основната им парола, или да извършат нова инсталация на операционната система.
Имайте предвид, че проблемът засяга само паролите, въведени във формите за въвеждане на програмата, така че ако идентификационните данни са копирани и поставени в полетата, в паметта не се създават низове за изтичане на данни.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.