Hafta sonu, parola yönetim aracı KeePass, tehdit aktörlerinin ana parolayı açık metin olarak sızdırmasına olanak tanıyan yüksek önemdeki bir güvenlik açığını giderecek şekilde güncellendi.
KeePass sürüm 2.x’e sahip kullanıcıların, tehdidi ortadan kaldırmak için bulut sunucularını sürüm 2.54’e getirmeleri önerilir. KeePass 1.x, Strongbox veya KeePass XC kullananlar kusura karşı savunmasız değildir ve bu nedenle istemezlerse yeni sürüme geçmeleri gerekmez.
Herhangi bir nedenle yamayı uygulayamayanlar, ana parolalarını sıfırlamalı, kilitlenme dökümlerini ve hazırda bekletme dosyalarını silmeli ve ana parolalarının parçalarını tutabilecek dosyaları değiştirmelidir. Daha aşırı durumlarda, işletim sistemlerini yeniden yükleyebilirler.
Artık dizeler
Mayıs ortasında, parola yönetim aracının, tehdit aktörlerinin KeePass ana parolasını uygulamanın bellek dökümünden kısmen çıkarmasına olanak tanıyan bir kusur olan CVE-2023-32784’e karşı savunmasız olduğu açıklandı. Ana parola açık metin olarak gelirdi. Güvenlik açığı, “vdohney” takma adıyla hareket eden ve aynı zamanda kusur için bir kavram kanıtı yayınlayan bir tehdit araştırmacısı tarafından keşfedildi.
Araştırmacının açıkladığı gibi, sorun SecureTextBoxEx’te bulundu: “Girdiyi işleme şeklinden dolayı, kullanıcı şifreyi yazdığında, artık dizeler olacak” dediler. “Örneğin, “Parola” yazıldığında, şu artık dizilerle sonuçlanır: •a, ••s, •••s, ••••w, ••••••o, •••••• r, •••••••d.”
Sonuç olarak, çalışma alanı kilitli olsa veya program yakın zamanda kapatılmış olsa bile, bir saldırgan neredeyse tüm ana parola karakterlerini kurtarabilir.
Teorik olarak, bir tehdit aktörü, programın belleğini boşaltmak ve şifre yöneticisinin veri tabanıyla birlikte saldırganın kontrolündeki bir sunucuya geri göndermek için bir bilgi hırsızı veya benzer bir kötü amaçlı yazılım varyantı yerleştirebilir.
Oradan, ana parolayı zamana basılmadan dışarı sızdırabilecekler. Parola yöneticileriyle, diğer tüm parolaları tutan veritabanının şifresini çözmek ve bunlara erişmek için bir ana parola kullanılır.
Aracılığıyla: BleepingBilgisayar
