KeePass пусна версия 2.54, в която е поправена уязвимостта CVE-2023-32784, която позволява извличането на главната парола с ясен текст от паметта на приложението.

При създаването на нова база данни на мениджъра на пароли KeePass потребителите трябва да създадат главна парола, която се използва за криптиране на базата данни. При отваряне на базата данни в бъдеще от потребителите се изисква да въведат тази главна парола за декриптиране и достъп до данните, съхранявани в нея.

През май 2023 г. обаче изследователят по сигурността „vdohney“ разкри уязвимост и доказателство за концептуален експлойт, който позволява частично извличане на главната парола на KeepPass в ясен текст от дамп на паметта на приложението.

„Проблемът е в SecureTextBoxEx. Поради начина, по който той обработва входните данни, когато потребителят въведе паролата, ще има останали низове“, обясни vdohney в доклад за грешка в KeePass.

„Например, когато се въведе „PASSWORD“, това ще доведе до тези остатъчни низове: -a, –s, –s, –-w, ––o, ––r, ––-d.“

Този дъмпер позволява на потребителите да възстановят почти всички символи на главната парола, освен първите един или два, дори ако работното пространство на KeePass е заключено или програмата е била затворена наскоро.

Зловреден софтуер, който краде информация, или  банди биха могли да използват тази техника, за да свалят паметта на програмата и да изпратят нея и базата данни на KeePass обратно към отдалечен сървър за офлайн извличане на паролата с ясен текст от свалената памет. След като изтеглят паролата, те могат да отворят базата данни с пароли на KeePass и да получат достъп до всички запазени данни за акаунти.

Създателят и основен разработчик на KeePass, Доминик Райхл, признава за дефекта и обещава скоро да пусне поправка, като вече е внедрил ефективно решение, което се тества в бета-вариантите.

KeePass 2.54 отстранява уязвимостта

През уикенда Reichl пусна KeePass 2.54 по-рано от очакваното и на всички потребители на клона 2.x се препоръчва да преминат към новата версия.

Потребителите на KeePass 1.x, Strongbox или KeePassXC не са засегнати от CVE-2023-32784 и следователно не е необходимо да преминават към по-нова версия.

За да се отстрани уязвимостта, KeePass вече използва API на Windows за задаване или извличане на данни от текстови полета, като предотвратява създаването на управлявани низове, които потенциално могат да бъдат изхвърлени от паметта.
Райхъл също така е въвел „фиктивни низове“ със случайни символи в паметта на процеса KeePass, за да затрудни извличането на фрагменти от паролата от паметта и комбинирането им във валидна главна парола.

KeePass 2.5.4 въвежда и други подобрения на сигурността, като например преместването на „Тригери“, „Глобални пренастройки на URL“ и „Профили на генератора на пароли“ в принудителния конфигурационен файл, което осигурява допълнителна защита от атаки, които променят конфигурационния файл на KeePass.

Ако тригерите, пренастройките и профилите не са съхранени в принудителната конфигурация, тъй като са били създадени с помощта на предишна версия, те ще бъдат деактивирани автоматично в 2.54 и потребителите ще трябва да ги активират ръчно от менюто за настройки „Инструменти“.

На потребителите, които не могат да преминат към KeePass 2.54, се препоръчва да възстановят основната си парола, да изтрияте всички дъмпове, файловете за хибернация и файловете за подмяна, които могат да съдържат фрагменти от основната им парола, или да извършат нова инсталация на операционната система.

Имайте предвид, че проблемът засяга само паролите, въведени във формите за въвеждане на програмата, така че ако идентификационните данни са копирани и поставени в полетата, в паметта не се създават низове за изтичане на данни.