Son aylarda ikinci kez bir güvenlik araştırmacısı, yaygın olarak kullanılan KeePass açık kaynaklı şifre yöneticisinde bir güvenlik açığı keşfetti.
Bu, Windows, Linux ve macOS için KeePass 2.X sürümlerini etkiler ve saldırganlara, kullanıcının çalışma alanı kapalıyken bile bir hedefin ana parolasını bir bellek dökümünden açık metin olarak alma yolu sunar.
KeePass’ın bakıcısı kusur için bir düzeltme geliştirmiş olsa da, 2.54 sürümünün yayınlanmasına kadar (muhtemelen Haziran başında) genel kullanıma sunulmayacak. Bu arada, güvenlik açığını keşfeden araştırmacı — şu şekilde takip edildi: CVE-2023-32784 – Çoktan bir konsept kanıtı yayınladı bunun için GitHub’da.
GitHub’da güvenlik araştırmacısı “vdhoney”, “Hedef sistemde kod yürütülmesi gerekmez, yalnızca bir bellek dökümü gerekir” dedi. “Hafızanın nereden geldiği önemli değil – tüm sistemin işlem dökümü, takas dosyası (pagefile.sys), hazırda bekletme dosyası (hiberfil.sys) veya RAM dökümü olabilir.”
Araştırmacı, yerel kullanıcı çalışma alanını kilitlese ve KeePass artık çalışmıyor olsa bile bir saldırganın ana parolayı ele geçirebileceğini söyledi.
Vdhoney, güvenlik açığını yalnızca ana bilgisayarın dosya sistemine veya RAM’ine okuma erişimi olan bir saldırganın yararlanabileceği bir güvenlik açığı olarak tanımladı. Ancak çoğu zaman bu, bir saldırganın bir sisteme fiziksel erişimi olmasını gerektirmez. Uzak saldırganlar, bu tür erişimleri bu günlerde güvenlik açıklarından yararlanma, kimlik avı saldırıları, uzaktan erişim Truva Atları ve diğer yöntemlerle rutin olarak elde etmektedir.
Araştırmacı, “Sofistike biri tarafından özel olarak hedef alınmayı beklemiyorsanız, sakin kalırım” diye ekledi.
Vdhoney, güvenlik açığının “SecureTextBoxEx” adı verilen şifreleri girmek için özel bir KeyPass kutusunun kullanıcı girişini nasıl işlediğiyle ilgili olduğunu söyledi. Araştırmacı, kullanıcı bir parola yazdığında, bir saldırganın parolayı açık metin olarak yeniden birleştirmesine izin veren artık dizeler olduğunu söyledi. “Örneğin, ‘Parola’ yazıldığında, şu artık dizelerle sonuçlanacaktır: •a, ••s, •••s, ••••w, ••••••o, •••••• r, •••••••d.”
Haziran Başında Yama
İçinde SourceForge’daki tartışma dizisiKeePass yöneticisi Dominik Reichl sorunu kabul etti ve sorunu çözmek için şifre yöneticisine iki geliştirme uyguladığını söyledi.
Reichel, geliştirmelerin diğer güvenlikle ilgili özelliklerle birlikte bir sonraki KeePass sürümüne (2.54) dahil edileceğini söyledi. Başlangıçta bunun önümüzdeki iki ay içinde gerçekleşeceğini belirtti, ancak daha sonra yeni sürüm için tahmini teslim tarihini Haziran başı olarak revize etti.
Reichl, “Açıklığa kavuşturmak gerekirse, ‘önümüzdeki iki ay içinde’ üst sınır olarak kastedildi,” dedi. “KeePass 2.54 sürümü için gerçekçi bir tahmin muhtemelen ‘Haziran başında’dır (yani 2-3 hafta), ancak bunu garanti edemem.”
Password Manager Güvenliği Hakkında Sorular
KeePass kullanıcıları için bu, son aylarda araştırmacıların yazılımla ilgili bir güvenlik sorununu ikinci kez ortaya çıkarışı. Şubat ayında, araştırmacı Alex Hernandez nasıl bir saldırgan olduğunu gösterdi KeePass’ın XML konfigürasyon dosyasına yazma erişimi ile şifre veri tabanından açık metin şifreleri alacak ve sessizce saldırgan kontrollü bir sunucuya aktaracak şekilde düzenleyebilir.
Güvenlik açığına resmi bir tanımlayıcı atanmasına rağmen (CVE-2023-24055), KeePass’ın kendisi bu açıklamaya itiraz etti ve parola yöneticisinin, yerel bir bilgisayarda zaten yüksek düzeyde erişime sahip olan birinden gelecek saldırılara dayanacak şekilde tasarlanmadığını belirtti.
KeePass o sırada “İşletim ortamı kötü niyetli bir aktör tarafından ele geçirildiğinde hiçbir parola yöneticisinin kullanımı güvenli değildir” demişti. “Çoğu kullanıcı için, KeePass’ın varsayılan kurulumu, zamanında yamalı, uygun şekilde yönetilen ve sorumlu bir şekilde kullanılan bir Windows ortamında çalışırken güvenlidir.”
Yeni KeyPass güvenlik açığı, parola yöneticisi güvenliği hakkındaki tartışmaları bir süre daha canlı tutabilir. Son aylarda, büyük parola yöneticisi teknolojileriyle ilgili güvenlik sorunlarının altını çizen birkaç olay oldu. Örneğin Aralık ayında LastPass, bir tehdit aktörünün, şirkete daha önceki bir izinsiz girişin kimlik bilgilerini kullanarak üçüncü taraf bir bulut hizmeti sağlayıcısında depolanan müşteri verilerine eriştiği bir olayı ifşa etti.
Ocak ayında, Google’daki araştırmacılar Bitwarden, Dashlane ve Safari Password Manager gibi parola yöneticilerinin kullanıcı kimlik bilgilerini güvenilmeyen sayfalara yönlendirilmeden otomatik olarak doldurması konusunda uyardı.
Bu arada tehdit aktörleri, muhtemelen bu tür sorunların bir sonucu olarak parola yöneticisi ürünlerine yönelik saldırıları artırdı.
Ocak ayında, Bitwarden ve 1Password, Google arama sonuçlarında, reklamları açan kullanıcıları şifre yöneticilerinin sahte sürümlerini indirmek için sitelere yönlendiren ücretli reklamlar gözlemlediklerini bildirdi.
