Det bedste adgangskodeadministratorer er beregnet til at holde alle dine logins og kreditkortoplysninger sikre og sikre, men en stor ny sårbarhed har netop sat brugere af KeePass password manager i alvorlig risiko for at blive brudt.
Faktisk tillader udnyttelsen en angriber at stjæle en KeePass-brugers hovedadgangskode i almindelig tekst - med andre ord i en ukrypteret form - blot ved at udtrække den fra målcomputerens hukommelse. Det er et bemærkelsesværdigt simpelt hack, men alligevel et, der kan have bekymrende konsekvenser.
Adgangskodeadministratorer som KeePass låser alle dine loginoplysninger for at holde dem sikre, og alle disse data er forseglet bag en hovedadgangskode. Du indtaster din hovedadgangskode for at få adgang til alt, der er gemt i din boks, hvilket gør det til et værdifuldt mål for hackere.
Relaterede
- Denne kritiske udnyttelse kan lade hackere omgå din Macs forsvar
- Disse pinlige adgangskoder fik berømtheder hacket
- Google har netop gjort dette vigtige Gmail-sikkerhedsværktøj helt gratis
Som rapporteret af Blødende computer, blev KeePass-sårbarheden opdaget af sikkerhedsforsker 'vdohney', som offentliggjorde et proof-of-concept (PoC) værktøj på GitHub. Dette værktøj er i stand til at udtrække næsten hele hovedadgangskoden (undtagen de første en eller to tegn) i læsbar, ukrypteret form. Det kan endda gøre dette, hvis KeePass er låst, og potentielt, hvis appen er lukket helt.
Anbefalede videoer
Det er fordi det udtrækker hovedadgangskoden fra KeePass's hukommelse. Som forskeren forklarer, kan dette opnås på en række forskellige måder: "Det er lige meget, hvor hukommelsen kommer fra — kan være procesdump, swap-fil (pagefile.sys), dvalefil (hiberfil.sys) eller vædder dump af hele systemet."
Udnyttelsen eksisterer takket være en brugerdefineret kode, som KeePass bruger. Når du indtaster din hovedadgangskode, gør du det i en brugerdefineret boks kaldet SecureTextBoxEx. På trods af navnet viser det sig, at denne boks er det ikke så sikker trods alt, da hvert tegn indtastet i boksen i det væsentlige efterlader en resterende kopi af sig selv i systemet hukommelse. Det er disse restkarakterer, som PoC-værktøjet finder og udtrækker.
En rettelse kommer
Den eneste advarsel til dette sikkerhedsbrud er, at det kræver fysisk adgang til den maskine, hvorfra hovedadgangskoden skal udtrækkes. Men det er ikke nødvendigvis altid et problem - som vi har set i LastPass udnytte saga, kan hackere få adgang til et måls computer ved hjælp af sårbare fjernadgangsapps installeret på computeren.
Hvis en målcomputer var inficeret med malware, kunne den konfigureres til at dumpe KeePass's hukommelse og sende både den og appens database tilbage til hackerens egen server, så trusselsaktøren kan udtrække hovedadgangskoden i deres egen tid.
Heldigvis siger KeePass's udvikler, at en rettelse er på vej, hvor et af de mulige løsninger er at indsætte tilfældig dummy-tekst i appens hukommelse, der ville sløre adgangskoden. Rettelsen forventes først at blive frigivet i juni eller juli 2023, hvilket kan være en smertefuld ventetid for enhver, der er nervøs for, at deres hovedadgangskode bliver lækket. Udvikleren har dog også udgivet en betaversion af rettelsen, som kan downloades fra KeePass-webstedet.
Sårbarheden viser bare, at selv tilsyneladende sikre apps som adgangskodeadministratorer kan blive brudt, og det er ikke første gang en alvorlig svaghed er fundet i KeePass. Hvis du vil beskytte dig selv mod onlinetrusler som denne seneste udnyttelse, skal du undgå at downloade apps eller åbne filer fra ukendte afsendere, undgå tvivlsomme websteder, og brug et antivirus app. Og selvfølgelig må du aldrig dele din adgangskodeadministrators hovedadgangskode med nogen.
Redaktørens anbefalinger
- Ransomware-angreb er steget massivt. Sådan forbliver du sikker
- Skaber ChatGPT et cybersikkerhedsmareridt? Vi spurgte eksperterne
- Hackere bruger et snedigt nyt trick til at inficere dine enheder
- Nej, 1Password blev ikke hacket - her er hvad der virkelig skete
- Denne Bing-fejl lod hackere ændre søgeresultater og stjæle dine filer
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
