KeePass komt met update voor lek waardoor master password is te stelen

[Captain Kirk]

De ontwikkelaar van wachtwoordmanager KeePass heeft een beveiligingsupdate aangekondigd voor een kwetsbaarheid (CVE-2023-32784) waardoor een aanvaller die toegang tot een systeem heeft het master password, op het eerste karakter na, in plain text uit het geheugen kan halen. Onlangs verscheen er op GitHub een tool genaamd "KeePass 2.X Master Password Dumper" waarmee de aanval is uit te voeren.

"Het maakt niet uit waar het geheugen vandaan komt, het kan de process dump, swap file, hibernation file of RAM dump van het gehele systeem zijn. Het maakt niet uit of de workspace vergrendeld is. Het is ook mogelijk om het wachtwoord uit het RAM te halen nadat KeePass niet meer draait, hoewel de kans dat dit werkt afneemt naarmate het programma langer is gesloten", aldus de ontwikkelaar van de dumptool.

Wanneer gebruikers het master password invoeren, blijft voor elk getypt karakter een string in het geheugen achter. Eenmaal gecreëerd zijn die lastig te verwijderen, zo stelt de ontwikkelaar. Wanneer bijvoorbeeld "Password" wordt getypt, blijven de strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d achter. De tool zoekt in de geheugendump naar deze patronen en toont voor elke positie in het wachtwoord het waarschijnlijke wachtwoordkarakter.

De aanval werkt alleen tegen KeePass versie 2, de eerste versie van de wachtwoordmanager is niet kwetsbaar. Dominik Reichl, de ontwikkelaar van KeePass, heeft echter een oplossing in versie 2.54 verwerkt die begin juni zou moeten verschijnen. Gebruikers van KeePass stellen dat de impact van de kwetsbaarheid beperkt is, aangezien een aanvaller al toegang tot het systeem moet hebben en dan ook allerlei andere aanvallen kan uitvoeren.

 

bron: https://www.security.nl