KeePass komt met update voor lek waardoor master password is te stelen
De ontwikkelaar van wachtwoordmanager KeePass heeft een beveiligingsupdate aangekondigd voor een kwetsbaarheid (CVE-2023-32784) waardoor een aanvaller die toegang tot een systeem heeft het master password, op het eerste karakter na, in plain text uit het geheugen kan halen. Onlangs verscheen er op GitHub een tool genaamd "KeePass 2.X Master Password Dumper" waarmee de aanval is uit te voeren.
"Het maakt niet uit waar het geheugen vandaan komt, het kan de process dump, swap file, hibernation file of RAM dump van het gehele systeem zijn. Het maakt niet uit of de workspace vergrendeld is. Het is ook mogelijk om het wachtwoord uit het RAM te halen nadat KeePass niet meer draait, hoewel de kans dat dit werkt afneemt naarmate het programma langer is gesloten", aldus de ontwikkelaar van de dumptool.
Wanneer gebruikers het master password invoeren, blijft voor elk getypt karakter een string in het geheugen achter. Eenmaal gecreëerd zijn die lastig te verwijderen, zo stelt de ontwikkelaar. Wanneer bijvoorbeeld "Password" wordt getypt, blijven de strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d achter. De tool zoekt in de geheugendump naar deze patronen en toont voor elke positie in het wachtwoord het waarschijnlijke wachtwoordkarakter.
De aanval werkt alleen tegen KeePass versie 2, de eerste versie van de wachtwoordmanager is niet kwetsbaar. Dominik Reichl, de ontwikkelaar van KeePass, heeft echter een oplossing in versie 2.54 verwerkt die begin juni zou moeten verschijnen. Gebruikers van KeePass stellen dat de impact van de kwetsbaarheid beperkt is, aangezien een aanvaller al toegang tot het systeem moet hebben en dan ook allerlei andere aanvallen kan uitvoeren.
Voor het overige: dreiging nummer 1 op een standaard desktop computer (Windows, standaard Linux, MacOS) is het uitvoeren van onbetrouwbare software. Die software mag meestal alles wat jij mag.
Op mobiele devices met Android of iOS/iPadOS is de dreiging vaak kleiner, omdat ook apps beperkte rechten (ook wel privileges genoemd) kunnen hebben - waardoor zij niet alles mogen wat jij mag.
Een extra dreiging (op alle platformen) vormen exploits, vooral als kwaadaardige software daarmee hogere rechten verkrijgt dan jij hebt.
Dus:
• Gebruik FDE
• Hou je besturingssyteem (maar ook toepassingssoftware) up-to-date
• Installeer niet zomaar allerlei apps of software: check eerst de betrouwbaarheid daarvan en van de maker(s) om je risico zo laag mogelijk te houden (hoe je dat doet is een te lang verhaal voor deze reactie).
https://github.com/keepassxreboot/keepassxc/issues/9446
Bij het loslaten van die toets kwam er weer een Interrupt 9 maar dan was het hoogste bit op één gezet.
Je had ook nog extended keycodes, die begonnen met 0xE0 en daarna kon je een tweede code uitlezen.
Heb hier ooit wel eens een programmaatje voor geschreven onder MS-DOS.
Hoe het anders is op een 64 bit processor en Windows 10/11 weet ik niet, maar ergens in het geheugen moeten deze toetsaanslagen opgeslagen worden tot een applicatie klaar is om die uit te lezen. MS-DOS had hier een roterende buffer voor op een vast geheugenadres van ik geloof 16 tekens lang. Deze waren dan vertaald naar de tekenset die op dat moment gold voor MS-DOS.
Ik vond het echter veel leuker om te kijken naar de scancodes voor die vertaling plaats vond. Zo is de Shift of de Ctrl op dit lage niveau helemaal niet bijzonder. Gewoon een toets die je in kan drukken en weer loslaten.
Er was een tijd dat gamers een PS/2 toetsenbord wilden hebben omdat een USB toetsenbord minder toetsen tegelijk aan kon. Hoe alles werkt op een USB toetsenbord weet ik ook niet.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.