Tech News & Advice

En udnyttelse kan afsløre din KeePass-hovedadgangskode i klartekst

KeepPass password manager brugere vil måske være ekstra på vagt i de næste par uger eller deromkring. EN nyopdaget sårbarhed tillader hentning af hovedadgangskoden i klartekst, selv når databasen er låst eller programmet er lukket. Og mens en løsning er undervejs, kommer den ikke før tidligst i begyndelsen af ​​juni.

(Opdatering, 6/5/2023: KeepPass version 2.54, som retter denne sårbarhed, er nu tilgængelig.)

Som rapporteret af Blødende computer (som dækker spørgsmålet i alle tekniske detaljer), udgav en sikkerhedsforsker kendt som vdohney et proof-of-concept-værktøj, der demonstrerede udnyttelsen i aktion. En angriber kan udføre et hukommelsesdump for at samle det meste af hovedadgangskoden i klartekst, selv når en KeePass-database er lukket, programmet er låst, eller programmet ikke længere er åbent. Når det trækkes ud af hukommelsen, vil de første et eller to tegn i adgangskoden mangle, men kan så gættes til at finde ud af hele strengen.

For dem, der ikke er bekendt med hukommelsesdumping-sårbarheder, kan du tænke på dette scenarie lidt som KeePass' hovedadgangskode som løst penge i en bukselomme. Ryst bukserne ud, og du får næsten hele den dollar (så at sige), der skal til for at købe adgang til databasen - men de mønter burde ikke flyde rundt i den lomme til at begynde med.

Bevis-of-concept-værktøjet demonstrerer dette problem i Windows, men Linux og macOS menes også at være sårbare, da problemet findes i KeePass, ikke i operativsystemet. Standardbrugerkonti i Windows er heller ikke sikre - at dumpe hukommelsen kræver ikke administrative rettigheder. For at udføre udnyttelsen skal en ondsindet aktør enten have adgang til computeren eksternt (opnået gennem malware) eller fysisk.

KeePass kommer i to udgaver, 2.x og 1.x. De er begge stadig vedligeholdt, selvom 2.x er den nyere udgave med flere tilgængelige funktioner.

Alle eksisterende versioner af KeePass 2.x (f.eks. 2.53.1) er berørt. I mellemtiden, KeePass 1.x (en ældre udgave af programmet, der stadig vedligeholdes), KeePassXC og Strongbox, som er andre adgangskodeadministratorer, der er kompatible med KeePass-databasefiler, påvirkes ikke iflg til vdohney.

En rettelse af denne sårbarhed vil komme i KeePass version 2.54, som sandsynligvis lanceres i begyndelsen af ​​juni. Dominick Reichl, udvikleren af ​​KeePass, gav dette skøn i en sourceforge forum sammen med det forbehold, at tidsrammen ikke er garanteret. An ustabil testversion af KeePass med sikkerhedsbegrænsningerne er tilgængelig nu. Bleeping Computer rapporterer, at skaberen af ​​proof-of-concept-udnyttelsesværktøjet ikke kan genskabe problemet med rettelserne på plads.

Men selv efter opgradering til den faste version af KeePass, kan hovedadgangskoden stadig være synlig i programmets hukommelsesfiler. For fuldt ud at beskytte mod det, skal du tørre din pc fuldstændigt ved hjælp af den tilstand, der overskriver eksisterende data, og derefter geninstallere operativsystemet.

Norton 360 Deluxe
Redaktørens valg
Læs vores anmeldelse
Bedste priser i dag: $17,99 i PCWorld Software Store

Det er dog et ret drastisk træk. Mere rimeligt, lad ikke upålidelige personer få adgang til din computer, og klik ikke på ukendte links eller installer ukendt software. Et godt antivirusprogram (som et af dem blandt vores bedste anbefalinger) hjælper også. Når den faste version af KeePass lanceres, kan du også ændre din hovedadgangskode efter opgradering - hvis du gør det, skulle den tidligere adgangskode være irrelevant, hvis den stadig lurer i dine hukommelsesfiler.

Du kan også reducere din eksponering ved at genstarte din pc, rydde din dvale og bytte filer og midlertidigt få adgang til din KeePass-database i et sikkert alternativ som KeePassXC i stedet. Enhedskryptering kan også hjælpe mod et fysisk angreb på din pc (eller hvis du tror, ​​at nogen kunne hente disse oplysninger, efter du har doneret eller kasseret pc'en). Der er måder at forblive beskyttet på - og heldigvis ser det ud til at dette kun er en proof-of-concept bekymring, snarere end en aktiv udnyttelse.

Redaktørens note: Denne artikel blev oprindeligt offentliggjort den 19. maj 2023 og blev opdateret den 5. juni 2023 med et link til KeePass version 2.54, som retter denne sårbarhed.

Clippy er tilbage i en ny, uautoriseret Windows AI-app

Clippy er tilbage i en ny, uautoriseret Windows AI-app

Da Microsoft debuterede sin AI-drevne Bing Chat, var det åbenlyse sammenligningspunkt Clippy, de ...

Læs mere

Nvidia sætter 2025-datoen for RTX 50-serien GPU'er

"Hvornår udkommer den næste?" Det er det nagende lille spørgsmål, der hjemsøger pc-byggere før hv...

Læs mere

Bings AI-funktioner marcherer aggressivt ind i mobil, multimedie

Bings AI-funktioner marcherer aggressivt ind i mobil, multimedie

Microsoft sagde, at det ruller flere visuelle funktioner ud til sin Bing Chat AI-chatbot i denne ...

Læs mere