KeePass выпускает исправление для ошибки безопасности с утечкой пароля

Сервис управления паролями KeePass был обновлен для устранения уязвимости высокой степени серьезности, которая позволяла злоумышленникам украсть мастер-пароль в открытом виде.

KeePass выпускает исправление для ошибки безопасности с утечкой пароля. Фото: СС0

Пользователям KeePass версии 2.x рекомендуется обновить свои инстансы до версии 2.54, чтобы устранить угрозу. Те, кто использует KeePass 1.x, Strongbox или KeePass XC, не подвержены этой уязвимости, и поэтому им не нужно переходить на новую версию.

Пользователи, которые не могут применить исправление, должны сбросить свой мастер-пароль, удалить аварийные дампы и файлы гибернации, а также заменить файлы, которые могут содержать фрагменты их мастер-пароля. В более крайних случаях они могут переустановить свою операционную систему.

В середине мая было объявлено, что сервис уязвим к CVE-2023-32784 — уязвимости, позволяющей злоумышленникам частично извлечь мастер-пароль KeePass из дампа памяти приложения. Мастер-пароль придет в открытом виде. Уязвимость была обнаружена исследователем угроз под псевдонимом «vdohney», который также опубликовал доказательство концепции уязвимости.

Как пояснил исследователь, проблема была обнаружена в SecureTextBoxEx.

Из сообщения исследователя безопасности:

«Из-за того, как он обрабатывает ввод, когда пользователь вводит пароль, будут появляться оставшиеся символы. Например, когда набирается «Пароль», это приведет к следующим оставшимся символам: •a, ••s, •••s, ••••w, •••••o, •••••• г, ••••••••д».

Следовательно, злоумышленник сможет восстановить практически все символы мастер-пароля, даже если рабочее пространство заблокировано или программа была недавно закрыта.

Теоретически злоумышленник может развернуть программу-похититель информации или аналогичный вариант вредоносного ПО, чтобы выгрузить память программы и отправить ее вместе с базой данных менеджера паролей обратно на сервер, находящийся под контролем злоумышленника.

Оттуда они смогут извлечь мастер-пароль. В менеджерах паролей мастер-пароль используется для расшифровки и доступа к базе данных, содержащей все остальные пароли.

Startpack подготовил список облачных сервисов для хранения паролей. Платные и бесплатные платформы для работы с паролями, необходимыми для доступа к прикладным программам или веб-сервисам. Обязательное шифрование данных защищает критически важную информацию от хищения или повреждения злоумышленниками. Автоматическая сортировка и заполнение полей с паролём облегчает доступ к сервисам. Возможность создания резервных копий базы паролей для сохранения на случай сбоя или ошибки.

Статьи по теме