Пользователи популярнейшего кроссплатформенного менеджера паролей KeePass под угрозой. Исследователь представил бесплатный инструмент для расшифровки всех паролей, логинов и заметок, которые хранит менеджер.
Исследователь из Security Assessment Денис Андзакович (Denis Andzakovic) опубликовал на GitHub бесплатную тулзу, названную KeeFarce. Достаточно запустить KeeFarce на компьютере жертвы, когда та авторизована в KeePass, и инструмент дешифрует весь архив с паролями, сохранив его отдельным файлом (злоумышленник может забрать файл сразу или сделать это позже, удаленно).
«Суть в том, что KeeFarce достает все содержимое парольной базы данных. К примеру, пентестер уже получил доступ администратора домена к сети, но хочет также получить доступ к сетевому «железу», не связанной с доменом инфраструктуре и так далее. Тогда пентестеру достаточно скомпрометировать машину системного администратора, воспользовавшись KeeFarce для похищения паролей из KeePass», — рассказал Андзакович Ars Technica.
Принцип работы KeeFarce базируется на DLL-инъекции, то есть стороннее приложение вмешивается в процессы приложения-жертвы через инъекцию DLL кода. Вредоносный код запускает в самом менеджере паролей вполне легитимную функцию экспорта, благодаря которой, открытая в этот момент БД (включая все логины, пароли, заметки и URL, хранящиеся в ней) сохраняется в CSV файл, в виде простого текста.
С одной стороны, проблема DLL-инъекций касается не только KeePass, и это сложно считать багом менеджера. С другой стороны, это отличное решение для кражи паролей, если совместить KeeFarce с использованием малвари и каких-либо техник удаленных атак. Будучи включен в состав Metasploit или других фремворков такого рода, KeeFarce тоже будет очень опасной штукой. Андзакович отмечает, что запустить KeeFarce вручную в Metasploit возможно уже сейчас.
Фото: Bruce Guenter
Kadist
05.11.2015 at 15:12
вот жопа! хотя я думаю можно себя защитить если блокировать keepass после ведения пароля. у меня временная задержка стоит. интересно kis инжект увидит…
djony999
05.11.2015 at 20:38
На Win 10 Ent x64 c OSSP x64 Оутпост задает тьму вопросов, и даже после всех разрешений от пользователя база паролей остается не скомпрометированной… (PS любопытство windows было вылечено тузлой с хакера https://xakep.ru/2015/09/03/windows-10-spying/)
Посетитель музея
08.11.2015 at 19:42
моей системе не ведомо, что такое dll и что с ней надо делать, как я рад, что не пользуюсь этим бредом сумасшедшего, и её производными версиями 5-6-7-8-9-10-11-12… Там не то что keepass теряет смысл, там ВООБЩЕ ВСЁ, ВСЁ (клавиши, микрофон, видеокамера, слепок со всего стека ip за любой промежуток времени, история серфинга и проч.. и проч.. ) теряет смысл.. Это всё равно, что доверить всю свою наличность первому встречному, а через неделю попробовать найти его на улицах или в метро Токио и вернуть.. Сама концепция использования win систем, и ублюдского софта под неё, на корню подразумевает, что пользователя уже имеют с самого начала, а дальше будет интереснее..
abzalacom
09.11.2015 at 09:04
Вообще-то Open source систему взломали… На Linux нет DLL?
……………………………………..________
………………………………,.-‘»……………….«~.,
………………………..,.-«……………………………..»-.,
…………………….,/………………………………………..»:,
…………………,?………………………………………………\,
………………./…………………………………………………..,}
……………../…………………………………………………,:`^`..}
……………/……………………………………………,:»………/
…………..?…..__…………………………………..:`………../
…………./__.(…..»~-,_…………………………,:`………./
………../(_….»~,_……..»~,_………………..,:`…….._/
……….{.._$;_……»=,_…….»-,_…….,.-~-,},.~»;/….}
………..((…..*~_…….»=-._……»;,,./`…./«…………../
…,,,___.\`~,……»~.,………………..`…..}…………../
…………(….`=-,,…….`……………………(……;_,,-»
………….\`~.*-,……………………………….|,./…..\,__
,,_……….}.>-._\……………………………..|…………..`=~-,
…..`=~-,_\_……`\,……………………………\
……………….`=~-,,.\,………………………….\
…………………………..`:,,………………………`\…………..__
……………………………….`=-,……………….,%`>—==«
…………………………………._\……….._,-%…….`\
……………………………..,<`.._|_,-&«…………….`\