image

KeePass verhelpt kwetsbaarheid waardoor master password is te stelen

woensdag 7 juni 2023, 11:10 door Redactie, 3 reacties
Laatst bijgewerkt: 07-06-2023, 13:45

Er is een nieuwe versie van wachtwoordmanager KeePass verschenen die een kwetsbaarheid (CVE-2023-32784) verhelpt waardoor het master password uit het geheugen is te stelen. Wanneer gebruikers het master password invoeren, blijft voor elk getypt karakter een string in het geheugen achter. Eenmaal gecreëerd zijn die lastig te verwijderen. Een aanvaller die toegang tot het systeem heeft kan het wachtwoord vervolgens uit het geheugen halen.

Het probleem doet zich voor met de manier waarop de tekstbox van KeePass voor het invoeren van het master password en andere wachtwoorden invoer verwerkt wanneer de gebruiker een wachtwoord invoert. Daardoor blijven er strings in het geheugen achter. Wanneer bijvoorbeeld "Password" wordt getypt, blijven de strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d in het geheugen achter. Onlangs verscheen er op GitHub een tool genaamd "KeePass 2.X Master Password Dumper" waarmee deze strings uit het geheugen zijn te halen.

Een aanvaller moet wel toegang tot het systeem hebben om de aanval uit te voeren. Daarnaast werkt de aanval alleen tegen KeePass versie 2, de eerste versie van de wachtwoordmanager is niet kwetsbaar. Dominik Reichl, de ontwikkelaar van KeePass, heeft echter een oplossing in versie 2.54 verwerkt. Zo worden de betreffende strings, die uit het geheugen zijn te dumpen, in de meeste gevallen niet meer door KeePass gemaakt. Daarnaast creëert de wachtwoordmanager nu "dummy fragmenten" in het procesgeheugen. Die moeten het lastiger maken om met karakters die in het geheugen zijn te vinden het master password samen te stellen.

De ontwikkelaar van de dumptool bevestigt dat deze twee maatregelen ervoor zorgen dat de aanval niet meer werkt. Gebruikers wordt aangeraden om naar KeePass 2.54 of nieuwer te updaten. Daarnaast adviseert de ontwikkelaar van de dumptool om het master password te wijzigen, crash dumps, hibernation bestand en swap file te verwijderen, verwijderde data te overschrijven en de computer te herstarten.

Reacties (3)
07-06-2023, 12:00 door Anoniem
Dus ze hebben de standaard invoerbox gebruikt in plaats van de "veilige".

Ja dat is een probleempje...
07-06-2023, 14:06 door Anoniem
Door Anoniem: Dus ze hebben de standaard invoerbox gebruikt in plaats van de "veilige".

Ja dat is een probleempje...
Maar het probleem is dat ze fouten blijven maken en deze worden uitgebuit en dat dit steeds meer
als normaal wordt gezien. Ik blijf erbij voor belangrijke zaken naar het loket, maar helaas gaat dat
niet meer dus zijn we overgeleverd aan mensen die geweldig kunnen praten maar geen gaatjes
dicht kunnen maken.
07-06-2023, 16:06 door johanw
Om dit uit te buiten had je al root / admin toegang tot de computer nodig, en dan kun je nog wel meer doen.

Verder is gewoon opschrijven van wachtwoorden ook een optie. Geen malware die dat kan uitlezen. Als je treat model geen fysieke inbraak of inbeslagname omvat een serieus te nemen optie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.