The найкращі менеджери паролів призначені для збереження всіх ваших логінів і даних кредитної картки в безпеці, але велика нова вразливість поставила користувачів менеджера паролів KeePass під серйозний ризик бути зламаними.
Насправді експлойт дозволяє зловмиснику викрасти головний пароль користувача KeePass у звичайному тексті — іншими словами, у незашифрованому вигляді — просто видобувши його з пам’яті цільового комп’ютера. Це надзвичайно простий хак, який може мати тривожні наслідки.
Менеджери паролів, такі як KeePass, зберігають усі ваші дані для входу, щоб зберегти їх у безпеці, і всі ці дані закриваються головним паролем. Ви вводите головний пароль, щоб отримати доступ до всього, що зберігається у вашому сховищі, що робить його цінною мішенню для хакерів.
Пов'язані
- Цей критичний експлойт може дозволити хакерам обійти захист вашого Mac
- Ці незручні паролі змусили знаменитостей зламати
- Google щойно зробив цей життєво важливий інструмент безпеки Gmail абсолютно безкоштовним
Як повідомляє Блеючий комп'ютер, уразливість KeePass виявив дослідник безпеки «vdohney», який опублікував інструмент перевірки концепції (PoC) на GitHub. Цей інструмент здатний витягти майже весь головний пароль (крім перших одного або двох символів) у доступній для читання незашифрованій формі. Він навіть може зробити це, якщо KeePass заблоковано і, можливо, якщо додаток взагалі закрито.
Рекомендовані відео
Це тому, що він витягує головний пароль із пам’яті KeePass. Як пояснює дослідник, це можна отримати різними способами: «Не має значення, де з пам’яті — це може бути дамп процесу, файл підкачки (pagefile.sys), файл сплячого режиму (hiberfil.sys) або ОЗП дамп усієї системи».
Експлойт існує завдяки певному спеціальному коду, який використовує KeePass. Коли ви вводите головний пароль, ви робите це в спеціальному полі під назвою SecureTextBoxEx. Незважаючи на назву, виявляється, це коробка зрештою, це не так безпечно, оскільки кожен символ, введений у поле, фактично залишає свою копію в системі пам'ять. Саме ці залишкові символи знаходить і витягує інструмент PoC.
Наближається виправлення
Єдине застереження щодо цього порушення безпеки полягає в тому, що для цього потрібен фізичний доступ до машини, з якої потрібно отримати головний пароль. Але це не обов’язково завжди проблема — як ми бачили в Сага про експлойт LastPass, хакери можуть отримати доступ до комп’ютера цілі за допомогою вразливих програм віддаленого доступу, встановлених на комп’ютері.
Якщо цільовий комп’ютер був заражений зловмисним програмним забезпеченням, його можна було налаштувати для створення скиду пам’яті KeePass і надсилання як її, так і базу даних програми назад на власний сервер хакера, дозволяючи учаснику загрози отримати головний пароль на власному сервері. час.
На щастя, розробник KeePass каже, що надходить виправлення, і одним із можливих способів виправлення є вставлення випадкового фіктивного тексту в пам’ять програми, який міг би приховати пароль. Очікується, що виправлення буде випущено лише в червні або липні 2023 року, що може бути болісним очікуванням для тих, хто нервує через витік головного пароля. Однак розробник також випустив бета-версію виправлення, яку можна завантажити з веб-сайту KeePass.
Ця вразливість лише демонструє, що навіть такі, на перший погляд, безпечні програми, як менеджери паролів, можуть бути зламані, і це не перший випадок серйозної слабкості знайдено в KeePass. Якщо ви хочете захистити себе від таких онлайн-загроз, як цей останній експлойт, уникайте завантажень програми або відкривати файли від невідомих відправників, уникайте сумнівних веб-сайтів і використовуйте антивірус додаток І, звичайно, ніколи нікому не повідомляйте головний пароль свого менеджера паролів.
Рекомендації редакції
- Атаки програм-вимагачів різко зросли. Ось як уберегтися
- ChatGPT створює кошмар кібербезпеки? Ми запитали експертів
- Хакери використовують новий підступний трюк, щоб заразити ваші пристрої
- Ні, 1Password не було зламано – ось що насправді сталося
- Цей недолік Bing дозволяє хакерам змінювати результати пошуку та викрадати ваші файли
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
