KeePass-exploit helpt bij het herstellen van hoofdwachtwoord in leesbare tekst, fix komt binnenkort

De populaire wachtwoordbeheerder KeePass is kwetsbaar voor het extraheren van het hoofdwachtwoord uit het applicatiegeheugen, waardoor aanvallers die een apparaat binnendringen het wachtwoord kunnen achterhalen, zelfs als de database is vergrendeld.

Dit probleem werd ontdekt door een beveiligingsonderzoeker die bekend staat als “vdohney”. Implementeer een proof-of-concept-tool Aanvallers toestaan ​​om het KeePass-hoofdwachtwoord uit het geheugen te halen als een proof of concept (PoC).

Met wachtwoordmanagers kunnen gebruikers unieke wachtwoorden maken voor elk online account en de inloggegevens opslaan in een gemakkelijk te doorzoeken database of wachtwoordkluis, zodat u ze niet allemaal hoeft te onthouden. Om deze wachtwoordkluis echter goed te beveiligen, moeten gebruikers het hoofdwachtwoord onthouden dat is gebruikt om deze te ontgrendelen en toegang krijgen tot de opgeslagen inloggegevens.

Dit hoofdwachtwoord versleutelt de wachtwoorddatabase van KeePass, waardoor deze niet kan worden geopend of gelezen zonder eerst het wachtwoord in te voeren. Zodra het hoofdwachtwoord echter is gekraakt, heeft de bedreigingsactor toegang tot alle inloggegevens die in de database zijn opgeslagen.

Om een ​​wachtwoordbeheerder goed te beveiligen, is het daarom van cruciaal belang dat gebruikers het hoofdwachtwoord beschermen en met niemand anders delen.

Met de naam is een nieuwe KeePass-kwetsbaarheid opgespoord CVE-2023-3278 Het maakt het mogelijk om het KeePass-hoofdwachtwoord te herstellen, ongeacht de eerste één of twee tekens, in leesbare tekstvorm, ongeacht of de KeePass-werkruimte is vergrendeld, of misschien zelfs als het programma is vergrendeld.

“KeePass Master Password Dumper is een eenvoudige proof-of-concept-tool die wordt gebruikt om het hoofdwachtwoord uit het KeePass-geheugen te dumpen. Afgezien van de eerste letter van het wachtwoord, kan het het wachtwoord vaak in platte tekst herstellen”, waarschuwt de beveiligingsonderzoeker op de exploit’s GitHub-pagina.

READ  Hoe deel te nemen aan het bètaprogramma van Samsung One UI 5.0 om Android 13 te testen

Er hoeft geen code te worden uitgevoerd op het doelsysteem, alleen een geheugendump. Het maakt niet uit waar het geheugen vandaan komt – het kan Dumpproces, wisselbestand (pagefile.sys), slaapstandbestand (hiberfil.sys) of RAM-dump voor het hele systeem. Het maakt niet uit of de werkruimte vergrendeld is of niet. “

De fout bestaat omdat het programma een aangepast wachtwoordinvoervak ​​gebruikt genaamd “SecureTextBoxEx”, dat sporen achterlaat van elk teken dat door de gebruiker in het geheugen is getypt.

KeePass 2.X gebruikt een speciaal ontwikkeld tekstvak voor wachtwoordinvoer, SecureTextBoxEx. Dit tekstvak wordt niet alleen gebruikt voor het invoeren van het hoofdwachtwoord, maar ook op andere plaatsen in KeePass, zoals wachtwoordinvoervakken (zodat een aanvaller ook kan worden gebruikt om hun inhoud te herstellen) ”legt vdohney uit.

De kwetsbaarheid treft de nieuwste versie van KeePass, 2.53.1, en aangezien de software open source is, is het waarschijnlijk dat elke vork van het project wordt getroffen.

KeePass 1.X, KeePassXC en Strongbox lijken niet te worden beïnvloed door CVE-2023-32784, volgens de ontwikkelaar van de tool voor het dumpen van wachtwoorden.

Tijdens het testen van PoC op Windows zou de exploit ook moeten werken onder Linux en macOS, met enkele aanpassingen, omdat het probleem niet specifiek is voor het besturingssysteem, maar voor hoe KeePass omgaat met gebruikersinvoer.

KeePass-wachtwoorddumptool is actief
Bron: vdohney

Het is gemakkelijk te exploiteren

Omdat geheugendumps moeten worden hersteld om het KeePass-hoofdwachtwoord te herstellen, vereist de CVE-2023-32784-exploit fysieke toegang of malware-infectie op het doelapparaat.

Malware die informatie steelt, kan echter snel controleren of KeePass op een computer staat of actief is, en als dat het geval is, het geheugen van het programma dumpen en het samen met de KeePass-database terugsturen naar de aanvaller om het leesbare wachtwoord uit het geheugendumpbestand te halen.

READ  Microsoft schuift Configuratiescherm opzij in de nieuwste Windows 11-updates

BleepingComputer heeft de “keepass-password-dumper”-tool van vdohney getest door KeePass op een testmachine te installeren en een nieuwe database aan te maken met het hoofdwachtwoord “password123”, zoals hieronder weergegeven.

Maak een test KeePass-database
Bron: BleepingComputer

Vervolgens hebben we onze KeePass-werkruimte vergrendeld, waardoor toegang tot deze wordt voorkomen, tenzij u uw hoofdwachtwoord opnieuw invoert.

In onze tests kunt u Process Explorer gebruiken om het geheugen van een KeePass-project te dumpen, maar het vereist een volledige geheugendump, geen minidump, om correct te werken. Er zijn geen hoge privileges nodig om het geheugen van processen te dumpen.

Nadat we de vdohney-tool met Visual Studio hadden gecompileerd, hebben we het tegen onze geheugendump uitgevoerd en het herstelde snel het grootste deel van het leesbare wachtwoord, waarbij alleen de eerste twee tekens ontbraken.

Extraheer de meeste KeePass-hoofdwachtwoorden
Bron: BleepingComputer

Hoewel dit niet het volledige wachtwoord is, is het vrij eenvoudig om de ontbrekende tekens te vinden.

De onderzoeker waarschuwt ook dat in het verleden gebruikte hoofdwachtwoorden in het geheugen kunnen blijven, zodat ze kunnen worden teruggehaald, zelfs als KeePass niet meer draait op de gehackte computer.

De oplossing komt binnenkort

KeePass-ontwikkelaar Dominik Reichl heeft het bugrapport ontvangen en belooft een fix uit te rollen voor CVE-2023-32784 op versie 2.54, die ergens in juli 2023 wordt verwacht.

Reichl vertelde echter aan BleepingComputer dat versie 2.54 van KeePass waarschijnlijk over ongeveer twee weken voor gebruikers zal worden vrijgegeven, dus begin juni zou het uit moeten zijn.

Op basis van een discussie Terwijl Reichl zijn gedachten over de kwetsbaarheid en mogelijke beperkingsstrategieën ontwikkelde, werden twee beveiligingsverbeteringen genoemd voor de komende KeePass-release:

  1. Voer rechtstreeks API-aanroepen uit om de hoofdtekst van het tekstvak op te halen/in te stellen en vermijd het maken van in-memory beheerde threads die geheimen kunnen lekken.
  2. Maak dummy-fragmenten met willekeurige tekens in het geheugen van het proces die ongeveer even lang zijn als het hoofdwachtwoord van de gebruiker, waardoor de echte sleutel wordt verdoezeld.
READ  NYT kruiswoordraadsels voor 12 juli 2023

KeePass 2.54 voor Windows heeft beide, terwijl de macOS- en Linux-versies alleen de tweede verbetering hebben.

De ontwikkelaar heeft een bètaversie uitgebracht met nieuwe beveiligingsverbeteringen die het probleem verminderen, dus degenen die het onstabiele gedrag kunnen accepteren, kunnen dat ook Afkomstig van hier.

De PoC-maker heeft bevestigd dat hij de aanval niet langer kan reproduceren met de aangebrachte beveiligingsverbeteringen, dus de oplossing lijkt effectief te zijn.

Zelfs nadat de nieuwe versie is uitgebracht, kan het hoofdwachtwoord nog steeds in de geheugenbestanden zijn opgeslagen. Onderzoeker waarschuwt dat om 100% veilig te zijn omdat het niet in het systeem ligt, je de wissel- en slaapstandbestanden van je systeem moet verwijderen, je harde schijf moet formatteren met de “data overwrite”-modus om gegevensherstel te voorkomen, en een nieuwe OS installeren.

Voor de meeste mensen zijn het herstarten van de computer, het wissen van de swap- en slaapstandbestanden en het niet gebruiken van KeePass totdat de nieuwe versie is uitgebracht, voorlopig redelijke beveiligingsmaatregelen.

Zelfs dan, voor de beste bescherming, moet u zeer waakzaam zijn om geen software te downloaden van niet-vertrouwde sites en pas op voor phishing-aanvallen die uw apparaten kunnen infecteren, waardoor bedreigde partijen op afstand toegang krijgen tot uw apparaat en de KeePass-database.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *