Dziura w KeePass umożliwia odzyskanie głównego hasła: CVE-2023-32784

Luka (CVE-2023-32784) w open-source’owym menedżerze haseł KeePass może zostać wykorzystana do odzyskania hasła głównego z pamięci komputera.

Złą wiadomością jest to, że narzędzie do jej wykorzystania – trafnie nazwane KeePass 2.X Master Password Dumper – jest publicznie dostępne jako PoC. Dobrą jest to, że hasła nie można wyodrębnić zdalnie bez posiadania kontroli nad systemem operacyjnym ofiary.

Wspomniana luka została wyeliminowana w KeePass 2.54, jej istnienie przypomina o ciągłej potrzebie niezachwianej czujności i regularnych aktualizacji oprogramowania. Chociaż polegamy na menedżerach haseł, aby chronić nasze klucze cyfrowe, ważne jest zdawać sobie sprawę że nawet one nie są całkowicie odporne na luki w zabezpieczeniach.

Czym jest luka CVE-2023-32784

Problematycznym jest SecureTextBoxEx, niestandardowe pole tekstowego oprogramowania służące do wprowadzania hasła głównego i innych haseł podczas edycji.

Narzędzie PoC używa zrzutu pamięci procesu, pliku wymiany (pagefile.sys), pliku hibernacji (hiberfil.sys) lub zrzut pamięci RAM całego systemu.

“Wykorzystana tutaj wada polega na tym, że dla każdego wpisanego znaku w pamięci tworzony jest pozostały ciąg znaków. Ze względu na to, jak działa .NET, prawie niemożliwe jest pozbycie się go po utworzeniu” – wyjaśnia autor PoC.

“Na przykład, po wpisaniu ‘Password’, powstaną następujące ciągi znaków: -a, –s, —s, —-w, —–o, ——r, ——-d. Aplikacja POC przeszukuje zrzut w poszukiwaniu tych wzorców i oferuje prawdopodobny znak hasła dla każdej pozycji w haśle”. Dla każdej pozycji z wyjątkiem pierwszej.

Jak się chronić przed błędem CVE-2023-32784

Jak zaleca autor PoC:

Po pierwsze, zaktualizuj KeePass do wersji 2.54 lub nowszej. Po drugie, jeśli korzystasz z KeePass od dłuższego czasu, twoje hasło główne (i potencjalnie inne hasła) prawdopodobnie znajduje się w pliku strony/pliku wymiany i pliku hibernacji. Rozważ więc następujące kroki:

  • Zmiana hasła głównego
  • Usunięcie pliku hibernacji
  • Usunięcie pliku pagefile/swapfile
  • Uruchom ponownie komputer
Zobacz:  Hakerski atak na Stronę internetową Parlamentu Europejskiego

Klony aplikacji KeePass, w szczególności te które nie używają platformy .NET, nie są dotknięte problemem. Należą do nich między innymi:

Oceń artykuł
Poprzedni artykuł
Następny artykuł

Inne wpisy

Odwiedź nasze media społecznościowe

12,018FaniLubię
243ObserwującyObserwuj
168SubskrybującySubskrybuj

Ostatnie artykuły

× Chat