Hackeri môžu mať hlavný kľúč k inému správcovi hesiel

The najlepší správcovia hesiel sú určené na to, aby boli všetky vaše prihlasovacie údaje a informácie o kreditných kartách v bezpečí, ale nová významná zraniteľnosť vystavila používateľov správcu hesiel KeePass vážnemu riziku narušenia.

V skutočnosti zneužitie umožňuje útočníkovi ukradnúť hlavné heslo používateľa KeePass v obyčajnom texte – inými slovami v nezašifrovanej forme – jednoducho jeho extrahovaním z pamäte cieľového počítača. Je to pozoruhodne jednoduchý hack, ktorý však môže mať znepokojujúce dôsledky.

Aplikácia používaná na extrahovanie hlavného hesla používateľa z aplikácie správcu hesiel KeePass.
Chyba zabezpečenia hlavného hesla KeePass, ktorú objavil bezpečnostný výskumník „vdohney“. Extrahované hlavné heslo (bez prvých dvoch znakov) sa zobrazuje na konci riadku „Kombinované“.Pípajúci počítač

Správcovia hesiel ako KeePass uzamknú všetky vaše prihlasovacie údaje, aby boli v bezpečí, a všetky tieto údaje sú zapečatené hlavným heslom. Zadáte svoje hlavné heslo, aby ste získali prístup ku všetkému uloženému vo vašom trezore, čo z neho robí cenný cieľ pre hackerov.

Súvisiace

  • Toto kritické zneužitie by mohlo hackerom umožniť obísť obranu vášho Macu
  • Tieto trápne heslá hackli celebrity
  • Google práve sprístupnil tento životne dôležitý bezpečnostný nástroj Gmail úplne zadarmo

Ako uvádza Pípajúci počítač, zraniteľnosť KeePass objavil bezpečnostný výskumník „vdohney“, ktorý na GitHub zverejnil nástroj na overenie konceptu (PoC). Tento nástroj je schopný extrahovať takmer celé hlavné heslo (okrem prvého alebo dvoch znakov) v čitateľnej, nezašifrovanej forme. Môže to dokonca urobiť, ak je KeePass uzamknutý a prípadne ak je aplikácia úplne zatvorená.

Odporúčané videá

Je to preto, že extrahuje hlavné heslo z pamäte KeePass. Ako vysvetľuje výskumník, možno to získať rôznymi spôsobmi: „Nezáleží na tom, kde pamäť pochádza z — môže to byť výpis procesu, odkladací súbor (pagefile.sys), súbor hibernácie (hiberfil.sys) alebo RAM výpis celého systému“.

Využívanie existuje vďaka vlastnému kódu, ktorý KeePass používa. Keď zadáte svoje hlavné heslo, urobíte tak vo vlastnom poli s názvom SecureTextBoxEx. Napriek názvu sa ukazuje, že táto krabica je nie je to až také bezpečné, pretože každý znak zadaný do poľa v podstate zanecháva v systéme svoju zvyšnú kópiu Pamäť. Sú to tieto zvyškové znaky, ktoré nástroj PoC nájde a extrahuje.

Prichádza oprava

Jedinou výhradou tohto narušenia bezpečnosti je, že vyžaduje fyzický prístup k stroju, z ktorého sa má extrahovať hlavné heslo. Ale to nie je nevyhnutne vždy problém - ako sme videli v LastPass využíva ságuhackeri môžu získať prístup k cieľovému počítaču pomocou zraniteľných aplikácií pre vzdialený prístup nainštalovaných v počítači.

Ak bol cieľový počítač infikovaný škodlivým softvérom, mohol by byť nakonfigurovaný tak, aby vypísal pamäť KeePass a odoslal ju aj databázu aplikácie späť na vlastný server hackera, čo umožňuje aktérovi hrozby extrahovať hlavné heslo do svojho vlastného čas.

Našťastie vývojár KeePass hovorí, že prichádza oprava, pričom jedným z možných riešení je vloženie náhodného fiktívneho textu do pamäte aplikácie, ktorý by znejasnil heslo. Očakáva sa, že oprava bude vydaná až v júni alebo júli 2023, čo môže byť bolestivé čakanie pre každého, kto je nervózny z úniku ich hlavného hesla. Vývojár však vydal aj beta verziu opravy, ktorú si možno stiahnuť z webovej stránky KeePass.

Zraniteľnosť len dokazuje, že aj zdanlivo bezpečné aplikácie, ako sú správcovia hesiel, môžu byť narušené, a nie je to prvýkrát, čo ide o vážnu slabinu bol nájdený v KeepPass. Ak sa chcete chrániť pred online hrozbami, ako je tento najnovší exploit, vyhnite sa sťahovaniu aplikácie alebo otváranie súborov od neznámych odosielateľov, vyhýbajte sa pochybným webovým stránkam a používajte antivírus aplikácie. A samozrejme, nikdy s nikým nezdieľajte hlavné heslo správcu hesiel.

Odporúčania redaktorov

  • Útoky ransomvéru masívne vzrástli. Tu je návod, ako zostať v bezpečí
  • Vytvára ChatGPT nočnú moru kybernetickej bezpečnosti? Spýtali sme sa odborníkov
  • Hackeri používajú na infikovanie vašich zariadení nový trik
  • Nie, 1Password nebolo napadnuté – tu je to, čo sa skutočne stalo
  • Táto chyba Bing umožnila hackerom zmeniť výsledky vyhľadávania a ukradnúť vaše súbory

Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.