KeePass ispravlja ranjivost glavne lozinke

Objavljena je nova verzija 2.54 menadžera lozinki KeePass koja ispravlja ranjivost CVE-2023-32784 koja je omogućavala preuzimanje glavne lozinke za otključavanje baze sa lozinkama.

Image by iuriimotov on Freepik

Podsjetnik

Prilikom kreiranja nove baze sa lozinkama u  KeePass menadžeru lozinki, korisnici moraju kreirati glavnu lozinku, koja se koristi za šifrovanje baze podataka. Kada se idući put bude otvarala baza sa lozinkama, od korisnika se traži da unesu ovaj glavni ključ da bi dešifrovao bazu i dobio pristup lozinkama koje se nalaze u njoj.

U maju je sigurnosni istraživač pod nazivom “vdohney” je otkrio ranjivost koja omogućava u verzijama starijim od 2.54 preuzimanje glavnu lozinku u tekstualnom obliku iz memorije, čak i kada je aplikacija zaključana ili  više ne radi. Ispis sadržaja memorije može biti KeePass ispis procesa, datoteka za razmjenu podataka (pagefile.sys), datoteka hibernacije (hiberfil.sys) ili ispis čitavog sistema u RAM memoriji.

Zlonamjerni softver za krađu podataka ili zlonamjerni napadači bi mogli da koriste ovu ranjivost da preuzmu ispis i pošalju ga zajedno sa KeePass bazom lozinki nazad na udaljeni server radi preuzimanja lozinke iz otvorenog teksta iz memorije. Kada se lozinka preuzme, mogu otvoriti KeePass bazu podataka lozinki i pristupiti svim sačuvanim korisničkim lozinkama.

KeePass autor i glavni programer, Dominik Reichl, priznao je grešku i obećao da će uskoro objaviti ispravku, pošto je već implementirao efikasno rješenje koje se testira u beta verzijama.

Nova KeePass verzija

Autor i glavni programer, Dominik Reichl je objavio novu verziju KeePass 2.54 ranije nego što je bilo prvobitno najavljeno i svi korisnici koji koriste 2.x ogranak bi trebalo da ažuriraju na novu verziju.

Da bi popravio ranjivost, KeePass sada koristi Windows API za postavljanje ili preuzimanje podataka iz okvira za tekst, sprečavajući stvaranje upravljanih stringova koji se potencijalno mogu izbaciti iz memorije. Reichl je takođe uveo „lažne stringove“ sa nasumičnih znakova u memoriju KeePass procesa kako bi otežao preuzimanje fragmenata lozinke iz memorije i njihovo kombinovanje u važeću glavnu lozinku.

KeePass verzija 2.54 je donijela još neka sigurnosna poboljšanja:

• Triggers,
• Global URL overrides,
• Password generator profiles u prinudnu konfiguracijsku datoteku, što pruža dodatnu sigurnost od napada koji modifikuju KeePass konfiguracionu datoteku.

Ako okidači (eng. triggers), zamjene (eng. overrides) i profili nisu uskladišteni u prinudnoj konfiguraciji, jer su kreirani pomoću prethodne verzije, oni će biti automatski onemogućeni u verziji 2.54, a korisnici će morati ručno da ih aktiviraju iz menija podešavanja „Alatke“ (eng. Tools).

Korisnici koji iz određenih razloga ne mogu izvršiti ažuriranje na KeePass 2.54 verziju, trebalo bi resetuju svoju glavnu lozinku, izbrišu memorijske ispise, datoteke hibernacije i zamjene datoteke koje mogu da sadrže fragmente njihove glavne lozinke ili izvrše novu instalaciju operativnog sistema.