Hasła zapisane w KeePass są możliwe do odzyskania

17 maja, 2023

Użytkownik vdohney podzielił się w serwisie SourceForge projektu KeePass prostym, ale skutecznym sposobem nieautoryzowanego uzyskania zapisanych haseł, w tym hasła głównego, którego używa ten menedżer haseł.

Okazuje się, że wprowadzane hasła są przechowywane w przydzielonej przez system pamięci dla instancji procesu KeePass w postaci jawnej.

Do ich odczytu wystarczy więc wykonanie zrzutu procesu lub całej pamięci, a następnie przeszukanie utworzonego pliku np. z wykorzystaniem udostępnionego przez wspomnianego użytkownika narzędzia.

Ponadto w przypadku Windows istnieje pewna możliwość, że poszukiwane ciągi znajdują się w plikach hiberfil.sys, pagefile.sys czy też swapfile.sys.

Działanie podatności nie jest uzależnione od systemu operacyjnego. Opisywana luka otrzymała oznaczenie CVE-2023-32784. Błąd zostanie naprawiony w przyszłym wydaniu KeePass 2.54 (aktualna wersja to 2.53.1). Główną przyczyną podatności jest użyty sposób przechowywania haseł w pamięci:

For example, when "Password" is typed, it will result in these leftover strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d.

W celu wydobycia tych haseł atakujący musi mieć zapewniony dostęp zdalny / fizyczny do naszego systemu.

Należy pamiętać, że wszelkie narzędzia bezpieczeństwa to zwykłe programy, w których zawsze mogą znaleźć się podobne błędy. Dlatego całkowite poleganie na różnych aplikacjach w zakresie bezpieczeństwa nie jest dobrym pomysłem. Bardzo ważny jest czynnik ludzki i stosowanie dobrych praktyk w celu ochrony naszych danych.

Zabezpieczenie KeePass

Aktualizacja KeePass do wersji 2.5.4 została zapowiedziana na czerwiec 2023 roku. Do tego czasu należy ograniczyć ryzyko wycieku pamięci poprzez zastosowanie ochrony dla Windows, aby przeciwdziałać złośliwemu oprogramowaniu, które mogłoby wykonać zrzut pamięci. Ryzyko nie jest duże, ale takie oprogramowanie istnieje i było już wielokrotnie używane w atakach ATP.

Michał Giza

Michał Giza

Autor tekstów na portalu Fundacji AVLab dla Cyberbezpieczeństwa. Administrator systemów Linux i Windows Server. Zajmuje się także bezpieczeństwem sieci.
Michał Giza

Michał Giza

Autor tekstów na portalu Fundacji AVLab dla Cyberbezpieczeństwa. Administrator systemów Linux i Windows Server. Zajmuje się także bezpieczeństwem sieci.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]