Spoločnosť KeePass vydala verziu KeePass 2.54, ktorá opravuje kritickú zraniteľnosť ohrozujúcu bezpečnosť citlivých dát používateľov aplikácie. Útočník má možnosť získať dáta z neošetreného textového poľa „SecureTextBoxEx“, ktoré sa používa pre zadávanie hlavného hesla, ako aj pre úpravu hesiel. Zneužitie predmetnej zraniteľnosti umožňuje útočníkovi extrahovať citlivé údaje z výpisu pamäte aplikácie.
Zraniteľné systémy:
KeePass 2.x < 2.54
Opis činnosti:
KeePass je bezplatný, open-source software určený pre bezpečné spravovanie hesiel. Slúži ako digitálny trezor, v ktorom môžu užívatelia ukladať svoje citlivé informácie. KeePass šifruje dáta pomocou hlavného kľúča alebo hlavného hesla, ktoré je potrebné zadať pre prístup k uloženým informáciám.
CVE-2023-32784 (CVSS skóre 7,5)
Zraniteľnosť sa nachádza v textovom poli SecureTextBoxEx. Toto pole je používané v rôznych častiach aplikácie, ale aj na zadávanie hlavného hesla. Na základe spôsobu, akým služba .NET CLR prideľuje reťazce, by mali byť vstupy pravdepodobne usporiadané v pamäti. Útočník môže získať heslo, len ak bolo vložené pomocou klávesnice a nie pomocou kopírovania zo schránky. Najnovšia verzia populárneho správcu hesiel využíva Windows API k manipulácii s dátami z textových polí, čo účinne zabraňuje vytvoreniu spravovaných reťazcov, ktoré by mohli byť extrahované z výpisu pamäte. Zraniteľnosť je možné zneužiť iba lokálne.
Zraniteľnosť objavil bezpečnostný výskumník so pseudonymom vdohney, ktorý publikoval a ukážku jej zneužitia.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Únik citlivých informácií
Odporúčania:
Odporúčame bezodkladnú aktualizáciu systému KeePass. Používateľom, ktorí dlhšie používali KeePass a ich heslá mohli byť uložené do hibernačných a swapových súborov, sa odporúča zmeniť svoje hlavné heslo, zmazať hibernačné a swapové súbory, ktoré mohli obsahovať fragmenty hlavného hesla, alebo vykonať čistú inštaláciu operačného systému.
KeePass 1.x, Strongboxu alebo KeePassXC nie sú zasiahnuté touto zraniteľnosťou.
Odkazy:
https://securityaffairs.com/146404/hacking/keepass-2-x-master-password-dumper.html
https://keepass.info/news/n230603_2.54.html
Zdroj: csirt.gov.sk