KeePass ranjivost omogućava preuzimanje glavne lozinke (CVE-2023-32784)
Sigurnosni istraživač je otkrio ranjivost u menadžeru lozinki otvorenog kôda KeePass koja može omogućiti preuzimanje glavne lozinke za otključavanje baze sa lozinkama.
KeePass ranjivost omogućava preuzimanje glavne lozinke (CVE-2023-32784); Dizajn: Saša Đurić
Ranjivost
Sigurnosni istraživač pod nazivom “vdohney” je otkrio ranjivost u KeePass menadžeru lozinki koja je označena kao CVE-2023-32784. Ova ranjivost omogućava u verzijama starijim od 2.54 preuzimanje glavnu lozinku u tekstualnom obliku iz memorije, čak i kada je aplikacija zaključana ili više ne radi. Ispis sadržaja memorije može biti KeePass ispis procesa, datoteka za razmjenu podataka (pagefile.sys), datoteka hibernacije (hiberfil.sys) ili ispis čitavog sistema u RAM memoriji. Prvi znak glavne lozinke ne može biti povraćen.
Problem utiče na SecureTextBoxEx, prilagođeni tekstualni okvir softvera za unos glavne lozinke i drugih lozinki tokom uređivanja. Greška koja se ovdje iskorištava je u tome što se za svaki ukucani karakter stvara preostali niz u memoriji. Zbog načina na koji .NET funkcioniše, skoro ga se nemoguće otarasiti kada se stvori. Ako se za primjer otkuca riječ “Lozinka”, to će prikazati sljedeće preostale nizove: •o, ••z, •••i, ••••n, •••••k, ••••••a.
Na pouzdanost ovog napada može uticati kako je lozinka otkucana i koliko je lozinki otkucano po sesiji. Čak i ako postoji više lozinki po sesiji ili grešaka u kucanju, način na koji .NET CLR dodjeljuje ove stringove znači da će oni vjerovatno biti lijepo poredani u memoriji. Dakle, ako su otkucane tri različite lozinke, vjerovatno će biti tri kandidata za svaku poziciju karaktera u tom redosljedu, što omogućava vraćanje sve tri lozinke.
Problem
Loša vijest za korisnike je da ranjivost još nije ispravljena, a već postoji alatka za iskorištavanje nazvana KeePass 2.X Master Password Dumper koja je javno dostupna. Dobra vijest za korisnike da se lozinka ne može preuzeti na daljinu samo iskorištavanjem ranjivosti.
“Ako je vaš računar već zaražen zlonamjernim softverom koji radi u pozadini sa privilegijama vašeg korisnika, ovo otkriće ne pogoršava vašu situaciju mnogo. Ako imate osnovanu sumnju da bi neko mogao da dobije pristup vašem računaru i sprovede forenzičku analizu, ovo bi moglo biti loše. Najgori scenario je da će glavna lozinka biti vraćena, uprkos tome što je KeePass zaključan ili uopšte ne radi.”
Rješenje
Ranjivost pogađa KeePass 2.X za Windows i vjerovatno za Linux i macOS. Ispravka je dostupna u testnoj verziji KeePass 2.54 koja bi trebala biti nakon završenog testiranja zvanično dostupna za preuzimanje u julu 2023. godine.
“Poboljšanja će biti uključena u sljedeće KeePass izdanje (2.54). Trenutno još uvijek radim na nekoliko drugih funkcija (takođe povezanih sa bezbjednošću) i čim se one završe, objaviću ih. Nema fiksnog datuma, ali sam siguran da će to biti u naredna dva mjeseca.”
Nažalost, dokaz izvodljivosti (eng. proof of concept – PoC) je dostupan javno, a nova verzija softvera sa ispravkom neće stići tako brzo. Jedino što je pozitivno je to što se ranjivost CVE-2023-32784 ne može baš tako lako iskoristiti.
KeepassXC, nezavisna KeePass verzija koja radi na više operativnih sistema, nije pogođen ovom ranjivošću.
