Уязвимость KeePass позволяет раскрыть мастер-пароль

2023-05-18 6102 комментарии
Недавно обнаруженная уязвимость CVE-2023-32784 менеджера паролей KeePass позволяет получить мастер-пароль жертвы

Эксплуатация уязвимости KeePass Password Safe с идентификатором CVE-2023-32784 приводит к восстановлению мастер-пароля из дампа системной памяти, даже если система отключена или заблокирована.

Доминик Райхл (Dominik Reichl), разработчик KeePass, выпустит исправление в предстоящем релизе KeePass 2.54, выход которого запланирован на ближайшие 2 месяца.

Исследователь безопасности, который обнаружил уязвимость, опубликовал подтверждение концепции на GitHub. Инструмент под названием KeePass 2.X Master Password Dumper анализирует дампы памяти, например файлы pagefile.sys, hiberfil.sys или дамп процессов KeePass, чтобы получить мастер-пароль в обычном текстовом виде. Уязвимость позволяет получить все символы мастер-пароля, кроме самого первого. Однако, нахождение пропущенного символа является довольно тривиальной задачей.

Согласно отчету, проблема вызвана компонентом SecureTextBoxEx, который оставляет остаточное строковое содержимое в дампе.

Хотя уязвимость позволяет злоумышленникам получить мастер-пароль KeePass, маловероятно, что она будет использована в масштабных атаках.

Вероятный сценарий эксплуатации — судебная экспертиза ПК. Эксперты могут получить мастер-пароль от менеджера паролей и доступ ко всем сохраненным паролям. Один из лучших способ защититься от этого — использовать полное шифрование диска и надежный пароль.

Пользователи Windows могут использовать для этого программу шифрования с открытым исходным кодом VeraCrypt. Пароль запрашивается при запуске системы для расшифровки системного диска и при загрузке операционной системы.

В качестве временного средства исследователь рекомендует пользователям KeePass регулярно удалять файлы подкачки и гибернации и менять мастер-пароли.

Исправление будет доступно в KeePass 2.54, но точная дата релиза неизвестна.

Доминик Райхл рассказал об исправлении на форуме Sourceforge:

Обновленная версия вызывает функции Windows API для получения/установки содержимого текстового поля напрямую, чтобы избежать создания управляемых строк.

Эта мера предотвратит большинство утечек. Чтобы устранить оставшиеся, KeePass 2.54 создаст фиктивные фрагменты в памяти процесса.

Исследователь безопасности подтвердил, что воспроизвести атаку на исправленной версии невозможно. Это ранняя тестовая сборка, поэтому устанавливать ее не рекомендуется.

Некоторые форки KeePass, такие как KeePassXC, данная проблема не затрагивает.

© . По материалам Ghacks
Комментарии и отзывы

Нашли ошибку?

Новое на сайте