Το KeePass κυκλοφόρησε την έκδοση 2.54, διορθώνοντας την ευπάθεια CVE-2023-32784 που επέτρεπε την εξαγωγή του cleartext master password από τη μνήμη της εφαρμογής.
Κατά τη δημιουργία μιας νέας βάσης δεδομένων διαχείρισης κωδικών πρόσβασης KeePass, οι χρήστες πρέπει να δημιουργήσουν έναν κύριο κωδικό πρόσβασης που χρησιμοποιείται για την κρυπτογράφηση της βάσης δεδομένων. Όταν ανοίγουν τη βάση δεδομένων στο μέλλον, οι χρήστες πρέπει να εισάγουν αυτό το κύριο κλειδί για να την αποκρυπτογραφήσουν και να αποκτήσουν πρόσβαση στα credentials που είναι αποθηκευμένα σε αυτήν.
Τον Μάιο του 2023, ωστόσο, ο ερευνητής ασφαλείας “vdohney” αποκάλυψε μια ευπάθεια και ένα proof-of-concept exploit που επέτρεπε τη μερική εξαγωγή του κύριου κωδικού πρόσβασης KeepPass σε cleartext από ένα memory dump της εφαρμογής.
“Το πρόβλημα είναι με το SecureTextBoxEx. Λόγω του τρόπου με τον οποίο επεξεργάζεται τα δεδομένα εισόδου, όταν ο χρήστης πληκτρολογεί τον κωδικό πρόσβασης, θα υπάρχουν leftover strings”, εξήγησε ο vdohney σε μια αναφορά σφαλμάτων του KeePass.
“Για παράδειγμα, όταν πληκτρολογείτε “Password”, θα προκύψουν αυτά τα υπόλοιπα strings: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”
Αυτός ο dumper επιτρέπει στους χρήστες να ανακτήσουν σχεδόν όλους τους χαρακτήρες του master password, εκτός από τον πρώτο ή τους δύο πρώτους, ακόμη και αν ο χώρος εργασίας του KeePass είναι κλειδωμένος ή το πρόγραμμα έχει κλείσει πρόσφατα.
Το κακόβουλο λογισμικό που κλέβει πληροφορίες ή οι απειλητικοί φορείς θα μπορούσαν να χρησιμοποιήσουν αυτή την τεχνική για να κάνουν dump της μνήμης ενός προγράμματος και να την στείλουν, μαζί με τη βάση δεδομένων του KeePass, σε έναν remote server για την offline ανάκτηση του cleartext password από το memory dump. Μόλις ανακτήσουν τον κωδικό πρόσβασης, μπορούν να ανοίξουν τη βάση δεδομένων κωδικών πρόσβασης του KeePass και να αποκτήσουν πρόσβαση σε όλα τα αποθηκευμένα account credentials.
Ο δημιουργός και κύριος προγραμματιστής του KeePass, Dominik Reichl, αναγνώρισε το ελάττωμα και υποσχέθηκε να κυκλοφορήσει σύντομα μια διόρθωση, έχοντας ήδη εφαρμόσει μια αποτελεσματική λύση η οποία δοκιμάζεται σε beta builds.
Το KeePass 2.5.4 διορθώνει την ευπάθεια
Κατά τη διάρκεια του Σαββατοκύριακου, η Reichl κυκλοφόρησε το KeePass 2.54 νωρίτερα από το αναμενόμενο και συνιστάται σε όλους τους χρήστες του 2.x branch να κάνουν αναβάθμιση στη νέα έκδοση.
Οι χρήστες των KeePass 1.x, Strongbox ή KeePassXC δεν επηρεάζονται από το CVE-2023-32784 και συνεπώς δεν χρειάζεται να μεταβούν σε νεότερη έκδοση.
Για τη διόρθωση της ευπάθειας, το KeePass χρησιμοποιεί πλέον ένα API των Windows για τον ορισμό ή την ανάκτηση δεδομένων από text boxes, αποτρέποντας έτσι τη δημιουργία διαχειριζόμενων string που μπορούν δυνητικά να γίνουν dump από τη μνήμη.
Ο Reichl εισήγαγε επίσης “dummy strings” με τυχαίους χαρακτήρες στη μνήμη της διαδικασίας KeePass, καθιστώντας δυσκολότερη την ανάκτηση τμημάτων του κωδικού πρόσβασης από τη μνήμη και τον συνδυασμό τους σε έναν έγκυρο κύριο κωδικό πρόσβασης.
Το KeePass 2.5.4 εισάγει επίσης άλλες βελτιώσεις ασφαλείας, όπως η μετακίνηση των Triggers, των Global URL overrides και των Password Generator Profiles στο αρχείο διαμόρφωσης που επιβάλλεται, το οποίο παρέχει πρόσθετη ασφάλεια έναντι επιθέσεων που τροποποιούν το αρχείο διαμόρφωσης του KeePass.
Εάν τα triggers, τα overrides και τα προφίλ δεν είναι αποθηκευμένα στην επιβεβλημένη διαμόρφωση επειδή δημιουργήθηκαν με προηγούμενη έκδοση, θα απενεργοποιηθούν αυτόματα στην έκδοση 2.54 και οι χρήστες θα πρέπει να τα ενεργοποιήσουν χειροκίνητα από το μενού ρυθμίσεων ‘Tools’.
Συνιστάται στους χρήστες που δεν μπορούν να αναβαθμίσουν το KeePass v2.54 να επαναφέρουν το master password, να διαγράψουν τα crash dumps, τα αρχεία hibernation και τα αρχεία swap που μπορεί να περιέχουν τμήματα του master password ή να πραγματοποιήσουν νέα εγκατάσταση του λειτουργικού συστήματος.
Λάβετε υπόψη ότι το πρόβλημα επηρεάζει μόνο τους κωδικούς πρόσβασης που πληκτρολογούνται στις φόρμες εισαγωγής του προγράμματος. Εάν τα credentials αντιγραφούν και επικολληθούν στα πλαίσια, δεν θα δημιουργηθούν data-leaking strings στη μνήμη.
Πηγή πληροφοριών: bleepingcomputer.com
