Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ciekawa podatność w KeePassie – z dumpa pamięci można wyłuskać główne hasło. Dostępny jest proof of concept exploit.
Zwięzła dyskusja o podatności – tutaj:
I found a potential issue in the latest KeePass 2.X (default settings). Given a process memory dump, I am able to reconstruct the master password. It doesn’t matter whether the workspace is locked or not, it works regardless. The memory source also isn’t important – for example, it can be a pagefile (swap) or the hibernation file. No code execution is needed, just the memory alone.
Podatność CVE-2023-32784 nie wydaje się być krytyczna, bo jeśli ktoś jest w stanie zrobić dumpa pamięci na komputerze, który jest atakowany, to zapewne jest w stanie robić i gorsze rzeczy (np. uruchomić keyloggera i przechwycić nasze główne hasło). Jednak spodziewamy się, że po zablokowaniu password managera nikt nie będzie już w stanie odzyskać hasła. A tu klops:
KeePass Master Password Dumper is a simple proof-of-concept tool used to dump the master password from KeePass’s memory. Apart from the first password character, it is mostly able to recover the password in plaintext.
Jak wskazuje autor narzędzia, problem występuje w polu do wpisywania hasła (SecureTextBoxEx), które w pamięci przechowuje stringi typu: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d
Dumper poszukuje takich wartości w pamięci i później próbuje zrekonstruować całe hasło.
Luka ma zostać załatana w wersji 2.54 KeePassa, a autor wskazuje że pojawi się w niej kilka dodatkowych „ficzerów bezpieczeństwa”.
~ms
Brzmi jakby KeePass nie był jedynym z „czymś takim”.
Na szczescie nie wszystkie…
https://keepassxc.org/blog/2019-02-21-memory-security/
https://github.com/keepassxreboot/keepassxc/discussions/9433
https://keepassxc.org
Linux + droid
KeepassXC też ta podatność dotyczy?
Wiem, że w jakimś z jego change logów była wzmianka, że wprowadzone zostało wzmocnione szyfrowanie danych w pamięci RAM.
Wystarczy zabezpieczyć dodatkowo za pomocą YubiKey. KeePass w przeciwieństwie do KeePassX ma wtyczkę pozwalającą na integrację KeePass Z YubiKey. Wtedy główne hasło nie wystarczy. Wystarczy myśleć.
KeePass XC obsługuje Yubikeye bez dodatkowych wtyczek i robi to poprawnie. Wtyczka do KeePassa zamienia metodę challenge-response w zwykłe użycie pliku klucza.
https://keepassium.com/articles/keechallenge-for-yubikey/
Witam w dniu 2023-06-03 została opublikowana nowa wersja 2.54