Эксплуатация уязвимости KeePass Password Safe с идентификатором CVE-2023-32784 приводит к восстановлению мастер-пароля из дампа системной памяти, даже если система отключена или заблокирована.
Ранее мы уже рассказывали, про инциденты безопасности с LastPass и Norton Password Manager, а также, что пользователи Bitwarden и 1Password подверглись новой фишинговой атаке.
Доминик Райхл (Dominik Reichl), разработчик KeePass, выпустит исправление в предстоящем релизе KeePass 2.54, выход которого запланирован на ближайшие 2 месяца.
Исследователь безопасности, который обнаружил уязвимость, опубликовал подтверждение концепции на GitHub. Инструмент под названием KeePass 2.X Master Password Dumper анализирует дампы памяти, например файлы pagefile.sys, hiberfil.sys или дамп процессов KeePass, чтобы получить мастер-пароль в обычном текстовом виде. Уязвимость позволяет получить все символы мастер-пароля, кроме самого первого. Однако, нахождение пропущенного символа является довольно тривиальной задачей.
Согласно отчету, проблема вызвана компонентом SecureTextBoxEx, который оставляет остаточное строковое содержимое в дампе.
Хотя уязвимость позволяет злоумышленникам получить мастер-пароль KeePass, маловероятно, что она будет использована в масштабных атаках.
Вероятный сценарий эксплуатации — судебная экспертиза ПК. Эксперты могут получить мастер-пароль от менеджера паролей и доступ ко всем сохраненным паролям. Один из лучших способ защититься от этого — использовать полное шифрование диска и надежный пароль.
Пользователи Windows могут использовать для этого программу шифрования с открытым исходным кодом VeraCrypt. Пароль запрашивается при запуске системы для расшифровки системного диска и при загрузке операционной системы.
В качестве временного средства исследователь рекомендует пользователям KeePass регулярно удалять файлы подкачки и гибернации и менять мастер-пароли.
Исправление будет доступно в KeePass 2.54, но точная дата релиза неизвестна.
Доминик Райхл рассказал об исправлении на форуме Sourceforge:
Обновленная версия вызывает функции Windows API для получения/установки содержимого текстового поля напрямую, чтобы избежать создания управляемых строк.
Эта мера предотвратит большинство утечек. Чтобы устранить оставшиеся, KeePass 2.54 создаст фиктивные фрагменты в памяти процесса.
Исследователь безопасности подтвердил, что воспроизвести атаку на исправленной версии невозможно. Это ранняя тестовая сборка, поэтому устанавливать ее не рекомендуется.
Некоторые форки KeePass, такие как KeePassXC, данная проблема не затрагивает.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России