De beste wachtwoordbeheerders zijn bedoeld om al uw aanmeldingen en creditcardgegevens veilig te houden, maar door een grote nieuwe kwetsbaarheid lopen gebruikers van de KeePass-wachtwoordbeheerder een ernstig risico om te worden geschonden.
De exploit stelt een aanvaller in feite in staat om het hoofdwachtwoord van een KeePass-gebruiker in platte tekst te stelen – met andere woorden, in een niet-versleutelde vorm – door het simpelweg uit het geheugen van de doelcomputer te halen. Het is een opmerkelijk eenvoudige hack, maar wel een die verontrustende gevolgen kan hebben.
Wachtwoordbeheerders zoals KeePass vergrendelen al uw inloggegevens om deze veilig te houden, en al die gegevens zijn verzegeld achter een hoofdwachtwoord. U voert uw hoofdwachtwoord in om toegang te krijgen tot alles wat in uw kluis is opgeslagen, waardoor het een waardevol doelwit is voor hackers.
Verwant
- Door deze kritieke exploit kunnen hackers de verdediging van uw Mac omzeilen
- Door deze gênante wachtwoorden werden beroemdheden gehackt
- Google heeft deze essentiële Gmail-beveiligingstool zojuist helemaal gratis gemaakt
Zoals gemeld door Piepende computer, werd de KeePass-kwetsbaarheid ontdekt door beveiligingsonderzoeker 'vdohney', die een proof-of-concept (PoC)-tool op GitHub publiceerde. Deze tool kan bijna het volledige hoofdwachtwoord (behalve de eerste of twee tekens) in leesbare, niet-versleutelde vorm extraheren. Het kan dit zelfs doen als KeePass is vergrendeld en mogelijk als de app helemaal is gesloten.
Aanbevolen video's
Dat komt omdat het het hoofdwachtwoord uit het geheugen van KeePass haalt. Dit kan volgens de onderzoeker op verschillende manieren worden verkregen: “Het maakt niet uit waar de geheugen komt van - kan de procesdump, wisselbestand (pagefile.sys), slaapstandbestand (hiberfil.sys) zijn of RAM dump van het hele systeem.”
De exploit bestaat dankzij een aangepaste code die KeePass gebruikt. Wanneer u uw hoofdwachtwoord invoert, doet u dit in een aangepast vak genaamd SecureTextBoxEx. Ondanks de naam blijkt deze doos dat wel te zijn toch niet zo veilig, aangezien elk karakter dat in de box wordt getypt in wezen een overgebleven kopie van zichzelf in het systeem achterlaat geheugen. Het zijn deze overgebleven karakters die de PoC-tool vindt en extraheert.
Er komt een oplossing aan
Het enige voorbehoud bij deze inbreuk op de beveiliging is dat het fysieke toegang vereist tot de machine waarvan het hoofdwachtwoord moet worden geëxtraheerd. Maar dat hoeft niet altijd een probleem te zijn - zoals we hebben gezien in de LastPass exploit-saga, kunnen hackers toegang krijgen tot de computer van een doelwit met behulp van kwetsbare apps voor externe toegang die op de computer zijn geïnstalleerd.
Als een doelcomputer is geïnfecteerd met malware, kan deze worden geconfigureerd om het geheugen van KeePass te dumpen en zowel het geheugen als het app-database terug naar de eigen server van de hacker, waardoor de bedreigingsactor het hoofdwachtwoord zelf kan extraheren tijd.
Gelukkig zegt de ontwikkelaar van KeePass dat er een oplossing komt, met als een van de mogelijke oplossingen het invoegen van willekeurige dummy-tekst in het geheugen van de app die het wachtwoord zou verdoezelen. De fix zal naar verwachting pas in juni of juli 2023 worden uitgebracht, wat een pijnlijk wachten kan zijn voor iedereen die nerveus is over het uitlekken van zijn hoofdwachtwoord. De ontwikkelaar heeft echter ook een bètaversie van de fix uitgebracht, die kan worden gedownload van de KeePass-website.
De kwetsbaarheid laat alleen maar zien dat zelfs ogenschijnlijk veilige apps zoals wachtwoordmanagers kunnen worden gehackt, en het is niet de eerste keer dat er sprake is van een ernstige zwakte gevonden in KeePass. Als je jezelf wilt beschermen tegen online bedreigingen zoals deze nieuwste exploit, vermijd dan het downloaden apps of het openen van bestanden van onbekende afzenders, blijf uit de buurt van dubieuze websites en gebruik een antivirusprogramma app. En deel natuurlijk nooit het hoofdwachtwoord van uw wachtwoordbeheerder met iemand.
Aanbevelingen van de redactie
- Ransomware-aanvallen zijn enorm toegenomen. Hier leest u hoe u veilig kunt blijven
- Creëert ChatGPT een nachtmerrie op het gebied van cyberbeveiliging? We vroegen het aan de experts
- Hackers gebruiken een sluwe nieuwe truc om uw apparaten te infecteren
- Nee, 1Password is niet gehackt - dit is wat er echt is gebeurd
- Door deze Bing-fout kunnen hackers zoekresultaten wijzigen en uw bestanden stelen
Upgrade je levensstijlDigital Trends helpt lezers de snelle wereld van technologie in de gaten te houden met het laatste nieuws, leuke productrecensies, verhelderende hoofdartikelen en unieke sneak peeks.