Пользователи популярнейшего кроссплатформенного менеджера паролей KeePass под угрозой. Исследователь представил бесплатный инструмент для расшифровки всех паролей, логинов и заметок, которые хранит менеджер.

Исследователь из Security Assessment Денис Андзакович (Denis Andzakovic) опубликовал на GitHub бесплатную тулзу, названную KeeFarce. Достаточно запустить KeeFarce на компьютере жертвы, когда та авторизована в KeePass, и инструмент дешифрует весь архив с паролями, сохранив его отдельным файлом (злоумышленник может забрать файл сразу или сделать это позже, удаленно).

«Суть в том, что KeeFarce достает все содержимое парольной базы данных. К примеру, пентестер уже получил доступ администратора домена к сети, но хочет также получить доступ к сетевому «железу», не связанной с доменом инфраструктуре и так далее. Тогда пентестеру достаточно скомпрометировать машину системного администратора, воспользовавшись KeeFarce для похищения паролей из KeePass», — рассказал Андзакович Ars Technica.

Принцип работы KeeFarce базируется на DLL-инъекции, то есть стороннее приложение вмешивается в процессы приложения-жертвы через инъекцию DLL кода. Вредоносный код запускает в самом менеджере паролей вполне легитимную функцию экспорта, благодаря которой, открытая в этот момент БД (включая все логины, пароли, заметки и URL, хранящиеся в ней) сохраняется в CSV файл, в виде простого текста.

С одной стороны, проблема DLL-инъекций касается не только KeePass, и это сложно считать багом менеджера. С другой стороны, это отличное решение для кражи паролей, если совместить KeeFarce с использованием малвари и каких-либо техник удаленных атак. Будучи включен в состав Metasploit или других фремворков такого рода, KeeFarce тоже будет очень опасной штукой. Андзакович отмечает, что запустить KeeFarce вручную в Metasploit возможно уже сейчас.

Фото: Bruce Guenter



4 комментария

  1. Kadist

    05.11.2015 at 15:12

    вот жопа! хотя я думаю можно себя защитить если блокировать keepass после ведения пароля. у меня временная задержка стоит. интересно kis инжект увидит…

  2. djony999

    05.11.2015 at 20:38

    На Win 10 Ent x64 c OSSP x64 Оутпост задает тьму вопросов, и даже после всех разрешений от пользователя база паролей остается не скомпрометированной… (PS любопытство windows было вылечено тузлой с хакера https://xakep.ru/2015/09/03/windows-10-spying/)

  3. Посетитель музея

    08.11.2015 at 19:42

    моей системе не ведомо, что такое dll и что с ней надо делать, как я рад, что не пользуюсь этим бредом сумасшедшего, и её производными версиями 5-6-7-8-9-10-11-12… Там не то что keepass теряет смысл, там ВООБЩЕ ВСЁ, ВСЁ (клавиши, микрофон, видеокамера, слепок со всего стека ip за любой промежуток времени, история серфинга и проч.. и проч.. ) теряет смысл.. Это всё равно, что доверить всю свою наличность первому встречному, а через неделю попробовать найти его на улицах или в метро Токио и вернуть.. Сама концепция использования win систем, и ублюдского софта под неё, на корню подразумевает, что пользователя уже имеют с самого начала, а дальше будет интереснее..

    • abzalacom

      09.11.2015 at 09:04

      Вообще-то Open source систему взломали… На Linux нет DLL?

      ……………………………………..________
      ………………………………,.-‘»……………….«~.,
      ………………………..,.-«……………………………..»-.,
      …………………….,/………………………………………..»:,
      …………………,?………………………………………………\,
      ………………./…………………………………………………..,}
      ……………../…………………………………………………,:`^`..}
      ……………/……………………………………………,:»………/
      …………..?…..__…………………………………..:`………../
      …………./__.(…..»~-,_…………………………,:`………./
      ………../(_….»~,_……..»~,_………………..,:`…….._/
      ……….{.._$;_……»=,_…….»-,_…….,.-~-,},.~»;/….}
      ………..((…..*~_…….»=-._……»;,,./`…./«…………../
      …,,,___.\`~,……»~.,………………..`…..}…………../
      …………(….`=-,,…….`……………………(……;_,,-»
      ………….\`~.*-,……………………………….|,./…..\,__
      ,,_……….}.>-._\……………………………..|…………..`=~-,
      …..`=~-,_\_……`\,……………………………\
      ……………….`=~-,,.\,………………………….\
      …………………………..`:,,………………………`\…………..__
      ……………………………….`=-,……………….,%`>—==«
      …………………………………._\……….._,-%…….`\
      ……………………………..,<`.._|_,-&«…………….`\

Оставить мнение