Szukaj
Strona głównaAktualności
Aktualności

Dziura w KeePass umożliwia odzyskanie głównego hasła: CVE-2023-32784

Redakcja
publikacja: Redakcja

Luka (CVE-2023-32784) w open-source’owym menedżerze haseł KeePass może zostać wykorzystana do odzyskania hasła głównego z pamięci komputera.

Złą wiadomością jest to, że narzędzie do jej wykorzystania – trafnie nazwane KeePass 2.X Master Password Dumper – jest publicznie dostępne jako PoC. Dobrą jest to, że hasła nie można wyodrębnić zdalnie bez posiadania kontroli nad systemem operacyjnym ofiary.

Wspomniana luka została wyeliminowana w KeePass 2.54, jej istnienie przypomina o ciągłej potrzebie niezachwianej czujności i regularnych aktualizacji oprogramowania. Chociaż polegamy na menedżerach haseł, aby chronić nasze klucze cyfrowe, ważne jest zdawać sobie sprawę że nawet one nie są całkowicie odporne na luki w zabezpieczeniach.

Czym jest luka CVE-2023-32784

Problematycznym jest SecureTextBoxEx, niestandardowe pole tekstowego oprogramowania służące do wprowadzania hasła głównego i innych haseł podczas edycji.

Narzędzie PoC używa zrzutu pamięci procesu, pliku wymiany (pagefile.sys), pliku hibernacji (hiberfil.sys) lub zrzut pamięci RAM całego systemu.

“Wykorzystana tutaj wada polega na tym, że dla każdego wpisanego znaku w pamięci tworzony jest pozostały ciąg znaków. Ze względu na to, jak działa .NET, prawie niemożliwe jest pozbycie się go po utworzeniu” – wyjaśnia autor PoC.

“Na przykład, po wpisaniu ‘Password’, powstaną następujące ciągi znaków: -a, –s, —s, —-w, —–o, ——r, ——-d. Aplikacja POC przeszukuje zrzut w poszukiwaniu tych wzorców i oferuje prawdopodobny znak hasła dla każdej pozycji w haśle”. Dla każdej pozycji z wyjątkiem pierwszej.

Jak się chronić przed błędem CVE-2023-32784

Jak zaleca autor PoC:

Po pierwsze, zaktualizuj KeePass do wersji 2.54 lub nowszej. Po drugie, jeśli korzystasz z KeePass od dłuższego czasu, twoje hasło główne (i potencjalnie inne hasła) prawdopodobnie znajduje się w pliku strony/pliku wymiany i pliku hibernacji. Rozważ więc następujące kroki:

  • Zmiana hasła głównego
  • Usunięcie pliku hibernacji
  • Usunięcie pliku pagefile/swapfile
  • Uruchom ponownie komputer
Zobacz:  Hakerski atak na Stronę internetową Parlamentu Europejskiego

Klony aplikacji KeePass, w szczególności te które nie używają platformy .NET, nie są dotknięte problemem. Należą do nich między innymi:

Oceń artykuł
Poprzedni artykuł
Discord zhackowany
Następny artykuł
Cyberatak na Scandinavian Airlines
Redakcja
Redakcjahttps://instytutcyber.pl

Inne wpisy

Odwiedź nasze media społecznościowe

11,150FaniLubię
243ObserwującyObserwuj
154SubskrybującySubskrybuj

Ostatnie artykuły

Kontakt

Dane fundacji:
FUNDACJA INSTYTUT CYBERBEZPIECZEŃSTWA

KRS: 0000906063
REGON: 389245421
NIP: 7543342346
E-mail: fundacja@instytutcyber.pl
Telefon: +48 882877794

Polityka prywatności RODO
Regulamin serwisu

× Chat