KeePass z kolejną luką, tym razem można przejąć hasło główne. Spodziewana łatka dopiero w lipcu
Jeśli korzystasz z menadżera haseł KeePass, lepiej usiądź, a jeśli już siedzisz, to przeczytaj do końca ten artykuł. Wykryto poważną lukę, która umożliwia wyciągniecie hasła głównego.
Podatność (CVE-2023-32784), o której mowa została odkryta niedawno i jest już potwierdzona. Polega na zrobieniu zrzutu pamięci oprogramowania KeePass i wyciągnięciu z niej hasła. Nie uznano tego za krytyczną podatność, ale tylko dlatego, że jeśli nasz komputer jest zainfekowany złośliwym oprogramowaniem, to możliwe są na nim znacznie bardziej szkodliwe działania. Jest tu jednak mały szkopuł, o którym warto pamiętać.
KeePass z podatnością na wyłowienie hasła głównego
KeePass obok LastPass i 1Password to chyba najpopularniejszy menadżer haseł. Jeśli dodać do tego, że działa na wielu platformach i jest oprogramowaniem typu open-source, to można śmiało powiedzieć, że jest jednym z najważniejszych tego typu programów. Niestety użytkownicy znaleźli nową podatność, którą udało się już potwierdzić. Na czym polega?
Jeśli na komputerze ofiary działa złośliwe oprogramowanie, a atakującemu uda się zrobić dumpa pamięci. To możliwe jest, wyciągniecie z tego zrzutu, hasła głównego, zabezpieczającego program. Oczywiście sytuacja, o której piszemy to sytuacja, w której użytkownik popadł już w srogie tarapaty, ale dziwi tu, że podatność ta zadziała nawet gdy KeePass zostanie zablokowany — co wprowadza nas w mylące przekonanie, że jesteśmy bezpieczni i nikt nie odzyska naszego hasła.
O podatności jako pierwszy napisał, użytkownik ukrywający się pod pseudonimem „vdohney”.
If your computer is already infected by malware that’s running in the background with the privileges of your user, this finding doesn’t make your situation much worse.
If you have a reasonable suspicion that someone could obtain access to your computer and conduct forensic analysis, this could be bad. Worst case scenario is that the master password will be recovered, despite KeePass being locked or not running at all.
The flaw exploited here is that for every character typed, a leftover string is created in memory. Because of how .NET works, it is nearly impossible to get rid of it once it gets created,” the researcher explained.
For example, when ‘Password’ is typed, it will result in these leftover strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d. The POC application searches the dump for these patterns and offers a likely password character for each position in the password.” (That is, for every position except the first – a small hiccup for potential attackers.)
Kiedy łatanie luk?
Luka dotyczy gałęzi KeePass 2.X dla Windows oraz najprawdopodobniej również dla Linux, oraz MacOS.
Luka czy też podatność została załataną w testowej wersji KeePass v2.54. Jeśli wszystko pójdzie zgodnie z planem, wersja ta trafi oficjalnie do użytkowników już w lipcu 2023 rok. Strona programu KeePass znajduje się pod tym linkiem.
Więcej szczegółowych informacji o tej podatności można znaleść w artykule Help Net Security oraz na GitHub użytkownika vdohney.
