Populární správce hesel KeePass je zranitelný vůči extrakci hlavního hesla z paměti aplikace, což umožňuje útočníkům, kteří proniknou do zařízení, získat heslo, i když je databáze uzamčena.
Tento problém objevil bezpečnostní výzkumník známý jako „vdohney“, který Nasaďte nástroj pro ověření konceptu Umožnění útočníkům extrahovat hlavní heslo KeePass z paměti jako důkaz koncepce (PoC).
Správci hesel umožňují uživatelům vytvářet jedinečná hesla pro každý online účet a ukládat přihlašovací údaje do snadno prohledávatelné databáze nebo trezoru hesel, takže si nemusíte pamatovat každé z nich. Pro správné zabezpečení tohoto trezoru hesel si však uživatelé musí pamatovat hlavní heslo použité k jeho odemknutí a přístupu k uloženým přihlašovacím údajům.
Toto hlavní heslo šifruje databázi hesel KeePass a zabraňuje jejímu otevření nebo čtení bez předchozího zadání hesla. Jakmile je však hlavní heslo prolomeno, může aktér hrozby získat přístup ke všem přihlašovacím údajům uloženým v databázi.
Proto, aby byl správce hesel správně zabezpečen, je klíčové, aby uživatelé chránili hlavní heslo a nesdíleli ho s nikým jiným.
S názvem byla sledována nová zranitelnost KeePass CVE-2023-3278 Umožňuje obnovit hlavní heslo KeePass, bez ohledu na první jeden nebo dva znaky, ve formě prostého textu, bez ohledu na to, zda je pracovní prostor KeePass uzamčen, nebo dokonce i když je uzamčen program.
„KeePass Master Password Dumper je jednoduchý nástroj pro ověření konceptu, který se používá k výpisu hlavního hesla z paměti KeePass. Kromě prvního písmene hesla dokáže často obnovit heslo v prostém textu,“ varuje bezpečnostní výzkumník na webu exploit stránku GitHub.
Na cílovém systému není třeba provádět žádný kód, pouze výpis paměti. Nezáleží na tom, odkud paměť pochází – může být Proces výpisu, odkládací soubor (pagefile.sys), soubor hibernace (hiberfil.sys) nebo výpis paměti RAM pro celý systém. Nezáleží na tom, zda je pracovní prostor uzamčen nebo ne. „
Chyba existuje, protože program používá vlastní pole pro zadání hesla s názvem „SecureTextBoxEx“, které zanechává stopy každého znaku zadaného uživatelem v paměti.
KeePass 2.X používá speciálně vyvinuté textové pole pro zadávání hesla SecureTextBoxEx. Toto textové pole se nepoužívá pouze pro zadání hlavního hesla, ale také na jiných místech v KeePass, jako jsou pole pro úpravu hesla (takže útočník může být slouží k obnovení jejich obsahu) “vysvětluje vdohney.
Tato chyba zabezpečení se týká nejnovější verze KeePass, 2.53.1, a protože je software open source, bude pravděpodobně ovlivněna jakákoli větev projektu.
Podle vývojáře nástroje pro ukládání hesel se nezdá, že by KeePass 1.X, KeePassXC a Strongbox CVE-2023-32784 ovlivnily.
Při testování PoC na Windows by měl exploit fungovat také pod Linuxem a macOS, s určitými úpravami, protože problém není specifický pro operační systém, ale jak KeePass zpracovává uživatelský vstup.
Zdroj: vdohney
Je snadné jej zneužít
Protože pro obnovení hlavního hesla KeePass je nutné obnovit výpisy paměti, exploit CVE-2023-32784 vyžaduje fyzický přístup nebo napadení cílového zařízení malwarem.
Malware kradoucí informace však dokáže rychle zkontrolovat, zda je KeePass na počítači nebo spuštěn, a pokud ano, vypíše paměť programu a pošle ji spolu s databází KeePass zpět útočníkovi, aby získal heslo ve formátu prostého textu ze souboru s výpisem paměti.
BleepingComputer testoval nástroj vdohney „keepass-password-dumper“ instalací KeePass na testovací počítač a vytvořením nové databáze s hlavním heslem „password123“, jak je uvedeno níže.
Zdroj: BleepingComputer
Poté jsme zamkli náš pracovní prostor KeePass, čímž jsme zabránili přístupu k němu, pokud znovu nezadáte své hlavní heslo.
V našich testech můžete použít Process Explorer k výpisu paměti projektu KeePass, ale ke správnému fungování vyžaduje úplný výpis paměti, nikoli minidump. K výpisu paměti procesů nejsou potřeba vysoká oprávnění.
Po zkompilování nástroje vdohney pomocí sady Visual Studio jsme jej spustili proti našemu výpisu paměti a rychle obnovil většinu hesla prostého textu, přičemž chyběly pouze první dva znaky.
Zdroj: BleepingComputer
Ačkoli toto není celé heslo, nalezení chybějících znaků bude poměrně snadné.
Výzkumník také varuje, že hlavní hesla používaná v minulosti mohou zůstat v paměti, takže je lze získat, i když KeePass již na napadeném počítači neběží.
Oprava se blíží
Vývojář KeePass Dominik Reichl obdržel hlášení o chybě a slibuje, že vydá opravu pro CVE-2023-32784 ve verzi 2.54, která se očekává někdy v červenci 2023.
Reichl však BleepingComputer řekl, že verze 2.54 KeePass bude pravděpodobně vydána uživatelům přibližně za dva týdny, takže by měla vyjít začátkem června.
Na základě a diskuse Když Reichl rozvíjel své úvahy o zranitelnosti a potenciálních strategiích zmírnění, byla pro nadcházející verzi KeePass zmíněna dvě vylepšení zabezpečení:
- Přímo provádějte volání rozhraní API, abyste získali/nastavili tělo textového pole, a vyhněte se vytváření vláken spravovaných v paměti, která mohou unikat tajemství.
- Vytvářejte fiktivní fragmenty obsahující náhodné znaky v paměti procesu, které budou mít zhruba stejnou délku jako hlavní heslo uživatele, čímž dojde k zatemnění skutečného klíče.
KeePass 2.54 pro Windows bude mít obojí, zatímco verze pro macOS a Linux budou mít pouze druhé vylepšení.
Vývojář vydal beta verzi s novými bezpečnostními vylepšeními, která zmírňují problém, takže ti, kteří mohou přijmout nestabilní chování, mohou Převzato odtud.
Tvůrce PoC potvrdil, že již nemůže reprodukovat útok se zavedenými bezpečnostními vylepšeními, takže oprava se zdá být účinná.
I po vydání nové verze může být hlavní heslo stále uloženo v paměťových souborech. Výzkumník varuje, že abyste byli 100% v bezpečí, protože neleží v systému, budete muset smazat odkládací a hibernační soubory vašeho systému, naformátovat pevný disk v režimu „přepsání dat“, abyste zabránili obnově dat, a provést nový instalace OS.
Pro většinu lidí je však restartování počítače, vymazání odkládacích a hibernačních souborů a nepoužívání KeePass až do vydání nové verze prozatím rozumnými bezpečnostními opatřeními.
Dokonce i tehdy, pro nejlepší ochranu, buďte velmi ostražití, abyste nestahovali software z nedůvěryhodných stránek, a dávejte si pozor na phishingové útoky, které by mohly infikovat vaše zařízení a poskytnout ohroženým stranám vzdálený přístup k vašemu zařízení a databázi KeePass.
„Unapologetický analytik. Rozzuřeně skromný kávový evangelista. Hráč. Nelze psát s boxerskými rukavicemi. Student. Podnikatel.“