Aggiornamenti recenti Ottobre 9th, 2024 9:00 AM
Mag 26, 2023 Dario Orlandi News, Vulnerabilità 0
Il ricercatore di sicurezza vdohney ha individuato e segnalato una grave vulnerabilità nel noto gestore di password gratuito KeePass, che consente di estrarre la password principale dalla memoria dell’applicazione, anche se il database è bloccato.
Questo significa che un attore delle minacce che abbia compromesso un dispositivo può recuperare la password principale e accedere a tutte le credenziali archiviate nel database senza bisogno di conoscerla e inserirla.
Il ricercatore ha pubblicato uno strumento proof-of-concept che dimostra come sia possibile estrarre la password principale dalla memoria come testo in chiaro.
I gestori di password sono utilizzati per creare password univoche per ogni account online e archiviarle in modo sicuro. Per proteggere correttamente le credenziali, però, gli utenti devono creare una password principale robusta e assicurarsi di mantenerla sempre al sicuro.
La vulnerabilità è stata catalogata con il codice CVE-2023-3278; rende possibile recuperare la password principale, a parte il primo carattere, anche se l’area di lavoro KeePass è bloccata o il programma è chiuso.
KeePass Master Password Dumper è uno strumento proof-of-concept utilizzato per estrarre la password principale dalla memoria di KeePass. Il tool è in grado di recuperare la password, ad eccezione del primo carattere.
Non è richiesta l’esecuzione di alcun codice sul sistema di destinazione, ma solo il dump della memoria, che può provenire dal processo, dal file di swap (paging.sys), dal file di ibernazione (hiberfil.sys) o dal dump della RAM dell’intero sistema.
La vulnerabilità è causata dal fatto che KeePass utilizza una casella di immissione password personalizzata chiamata SecureTextBoxEx, che lascia tracce nella memoria di ogni carattere digitato dall’utente.
La vulnerabilità riguarda l’ultima versione di KeePass, la 2.53.1, e potrebbe interessare anche eventuali fork del progetto. KeePass 1.X, KeePassXC e Strongbox non sembrano invece essere interessati dal problema.
Il PoC è stato testato su Windows, ma dovrebbe funzionare anche su Linux e macOS con alcune modifiche, poiché il problema non è specifico del sistema operativo, ma di come KeePass gestisce l’input dell’utente.
Dominik Reichl, sviluppatore di KeePass, ha promesso di implementare una correzione nella versione 2.54 del programma; inizialmente la nuova release era prevista per luglio 2023, ma visto il bug potrebbe essere rilasciata per l’inizio di giugno.
Reichl ha discusso potenziali strategie di mitigazione per il difetto di sicurezza, che includono l’esecuzione di chiamate API dirette per ottenere e impostare il testo della casella di testo e la creazione di frammenti fittizi contenenti caratteri casuali nella memoria del processo per offuscare la chiave reale.
KeePass 2.54 per Windows includerà entrambi i miglioramenti della sicurezza, mentre le versioni macOS e Linux avranno solo il secondo. Il creatore del PoC ha confermato che non può più riprodurre l’attacco con i due miglioramenti di sicurezza in atto, quindi la correzione sembra essere efficace.
Tuttavia, per essere sicuri al 100% che la password principale non estraibile dal sistema, è necessario eliminare i file di swap e ibernazione del sistema, formattare il disco fisso utilizzando la modalità “sovrascrivi dati” per impedire il recupero dei dati e fare una nuova installazione del sistema operativo.
Nel frattempo, riavviare il computer, cancellare il file di paging e i file di ibernazione e non utilizzare KeePass fino al rilascio della nuova versione sono le misure di sicurezza minime consigliate.
Ott 09, 2024 0
Ott 04, 2024 0
Set 27, 2024 0
Set 23, 2024 0
Ott 08, 2024 0
Ott 07, 2024 0
Ott 07, 2024 0
Ott 03, 2024 0
Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...Ott 07, 2024 0
I ricercatori di Acronis hanno individuato un attacco...Ott 07, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Ott 04, 2024 0
Fino a neanche un mese fa l’applicazione di ChatGPT...