Ένας ερευνητής ασφαλείας, γνωστός ως “vdohney”, ανακάλυψε μια ευπάθεια στον δημοφιλή διαχειριστή κωδικών πρόσβασης KeePass. Η ευπάθεια επιτρέπει στους hackers να εξάγουν τον κύριο κωδικό πρόσβασης από τη μνήμη της εφαρμογής, ακόμη και αν η βάση δεδομένων είναι κλειδωμένη. Αυτό μπορεί να δώσει στους δράστες πρόσβαση σε όλα τα αποθηκευμένα διαπιστευτήρια.
Δείτε επίσης: Apple: Επιδιορθώνει τρία νέα zero-days που χακάρουν iPhone και Mac
Το KeePass είναι ένας διαχειριστής κωδικών πρόσβασης που επιτρέπει στους χρήστες να δημιουργούν μοναδικούς κωδικούς πρόσβασης για διαφορετικούς διαδικτυακούς λογαριασμούς και να τους αποθηκεύουν σε ένα vault. Οι χρήστες πρέπει να θυμούνται έναν μοναδικό κύριο κωδικό πρόσβασης για να έχουν πρόσβαση σε αυτό.
Ο κύριος κωδικός πρόσβασης προστατεύει τη βάση δεδομένων κωδικών πρόσβασης του KeePass κρυπτογραφώντας την, καθιστώντας αδύνατη την πρόσβαση χωρίς αυτόν. Ωστόσο, αν ο κύριος κωδικός πρόσβασης αποκτηθεί από κάποιον άλλο, μπορεί να έχει πρόσβαση σε όλες τις πληροφορίες της βάσης. Ως εκ τούτου, είναι σημαντικό να διατηρείτε τον κύριο κωδικό ασφαλή και να μην τον μοιράζεστε με κανέναν για να διασφαλίσετε την ασφάλεια του διαχειριστή.
H νέα ευπάθεια του KeePass που εντοπίζεται ως CVE-2023-3278 καθιστά δυνατή την ανάκτηση του κύριου κωδικού πρόσβασης του KeePass, εκτός από τους πρώτους έναν ή δύο χαρακτήρες, σε μορφή καθαρού κειμένου, ανεξάρτητα από το αν ο χώρος εργασίας του KeePass είναι κλειδωμένος ή, ενδεχομένως, ακόμη και αν το πρόγραμμα είναι κλειστό.
Πρόταση:Χάκερ στοχεύουν ευάλωτο Elementor plugin του WordPress μετά την κυκλοφορία ενός Proof-of-Concept
“Δεν απαιτείται εκτέλεση κώδικα στο σύστημα-στόχο, απλώς ένα memory dump. Δεν έχει σημασία από πού προέρχεται η μνήμη – μπορεί να είναι το process dump, το αρχείο swap (pagefile.sys), το αρχείο hibernation (hiberfil.sys) ή το RAM dump ολόκληρου του συστήματος. Δεν έχει σημασία αν ο χώρος εργασίας είναι κλειδωμένος ή όχι”.
Το ελάττωμα υπάρχει επειδή το λογισμικό χρησιμοποιεί ένα προσαρμοσμένο πλαίσιο εισαγωγής κωδικού πρόσβασης που ονομάζεται “SecureTextBoxEx“, το οποίο αφήνει ίχνη κάθε χαρακτήρα που πληκτρολογεί ο χρήστης στη μνήμη.
Η ευπάθεια επηρεάζει την τελευταία έκδοση του KeePass, 2.53.1, και καθώς το πρόγραμμα είναι ανοιχτού κώδικα, είναι πιθανό να επηρεαστεί κάθε διακλάδωση του έργου.
Τα KeePass 1.X, KeePassXC και Strongbox δεν φαίνεται να επηρεάζονται από το CVE-2023-32784, σύμφωνα με τον προγραμματιστή του password dumping εργαλείου. Επίσης, ενώ το PoC δοκιμάστηκε σε Windows, το exploit θα πρέπει να λειτουργεί και για Linux και macOS, με κάποιες τροποποιήσεις, καθώς το πρόβλημα δεν αφορά ειδικά το λειτουργικό σύστημα αλλά τον τρόπο με τον οποίο το KeePass χειρίζεται την είσοδο του χρήστη.
Εύκολη εκμετάλλευση
Για να εκμεταλλευτεί το CVE-2023-32784 και να αποκτήσει τον κύριο κωδικό πρόσβασης του KeePass, ένας δράστης πρέπει να αποκτήσει πρόσβαση στο memory dump του προγράμματος, κάτι που απαιτεί είτε φυσική πρόσβαση είτε μόλυνση από κακόβουλο λογισμικό στο μηχάνημα του θύματος. Ένα κακόβουλο πρόγραμμα θα μπορούσε εύκολα να ανιχνεύσει αν το KeePass είναι εγκατεστημένο ή εκτελείται, και στη συνέχεια να κλέψει και να στείλει τόσο το memory dump όσο και τη βάση δεδομένων του KeePass στον hacker, ο οποίος θα μπορούσε στη συνέχεια να εξάγει τον κωδικό πρόσβασης σε απλό κείμενο από την memory dump.
Το BleepingComputer δοκίμασε ένα εργαλείο που μπορεί να ανακτήσει τον κύριο κωδικό πρόσβασης του KeePass από ένα memory dump. Δημιούργησαν μια νέα βάση δεδομένων KeePass με έναν απλό κωδικό πρόσβασης και την κλείδωσαν. Χρησιμοποίησαν τον Process Explorer για να κάνουν dump την πλήρη μνήμη της διεργασίας KeePass χωρίς αυξημένα προνόμια. Εκτέλεσαν το εργαλείο έναντι του memory dump και πήραν το μεγαλύτερο μέρος του κωδικού πρόσβασης σε απλό κείμενο, εκτός από τα δύο πρώτα γράμματα. Αν και δεν είναι ο πλήρης κωδικός πρόσβασης, ο προσδιορισμός των χαρακτήρων που λείπουν θα ήταν αρκετά εύκολος.
Ο ερευνητής προειδοποιεί επίσης ότι οι κύριοι κωδικοί πρόσβασης που χρησιμοποιήθηκαν στο παρελθόν μπορούν να παραμείνουν στη μνήμη, οπότε μπορούν να ανακτηθούν ακόμη και αν το KeePass δεν εκτελείται πλέον στον παραβιασμένο υπολογιστή.
Έρχεται διόρθωση σύντομα
Ο προγραμματιστής του KeePass, Dominik Reichl, σχεδιάζει να κυκλοφορήσει μια διόρθωση για το CVE-2023-32784, η οποία αναμένεται στις αρχές Ιουνίου. Η διόρθωση θα περιλαμβάνει δύο βελτιώσεις ασφαλείας: άμεσες κλήσεις API και εικονικά θραύσματα. Μια δοκιμαστική έκδοση με τη διόρθωση είναι διαθέσιμη και έχει επαληθευτεί από τον δημιουργό του PoC. Ωστόσο, για να διαγράψουν εντελώς τον κύριο κωδικό πρόσβασης από τα αρχεία μνήμης, οι χρήστες θα πρέπει να διαγράψουν τα αρχεία swap και hibernation, να διαμορφώσουν τον σκληρό τους δίσκο με λειτουργία αντικατάστασης δεδομένων και να επανεγκαταστήσουν το λειτουργικό τους σύστημα.
Για τους περισσότερους, όμως, η επανεκκίνηση του υπολογιστή, η εκκαθάριση του αρχείου swap και των αρχείων αδρανοποίησης και η μη χρήση του KeePass μέχρι να κυκλοφορήσει η νέα έκδοση είναι λογικά μέτρα ασφαλείας προς το παρόν.
Ακόμα και τότε, για την καλύτερη προστασία, να είστε ιδιαίτερα προσεκτικοί στο να μην κατεβάζετε προγράμματα από αναξιόπιστους ιστότοπους και να προσέχετε τις επιθέσεις phishing που μπορεί να μολύνουν τις συσκευές σας, δίνοντας στους hackers απομακρυσμένη πρόσβαση στη συσκευή σας και στη βάση δεδομένων του KeePass.
Διαβάστε επίσης: Η ομάδα hacking Lemon Group έχει προεγκαταστήσει το Guerilla malware σε Android συσκευές
πηγή πληροφοριών:bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/465676/eupatheia-sto-keepass-eksagei-ton-kwdiko-prosbasis/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2023/05/recovered-keepass-master-password.webp&description=Ένας ερευνητής ασφαλείας, γνωστός ως "vdohney", ανακάλυψε μια ευπάθεια στον δημοφιλή διαχειριστή κωδικών πρόσβασης KeePass.){kind=link}