Менеджер паролей обновлен до версии 2.54, исправляющей уязвимость CVE-2023-32784, которая позволяла извлечь мастер-пароль из памяти приложения в формате простого текста.
Исходно эту уязвимость обнаружил ИБ-специалист, известный под ником vdohney. В середине мая он показал PoC-эксплоит и объяснял, что восстановить мастер-пароль KeePass в открытом виде возможно без одного-двух первых символов, причем независимо от того, заблокировано ли рабочее пространство KeePass (программа вообще может быть закрыта).
Проблема была связана с тем, что KeePass использует специальное поле для ввода пароля — SecureTextBoxEx, которое оставляет в памяти следы каждого символа, введенного пользователем.
Поскольку для восстановления мастер-пароля KeePass необходимо получить дамп памяти, для эксплуатации CVE-2023-32784 требовался физический доступ или заражение целевой машины малварью. То есть любой инфостилер мог проверить, существует ли KeePass на зараженном компьютере и, если нужно, сделать дамп памяти программы, после отправив его и БД KeePass своим операторам. Хотя пароль получается неполный, подобрать недостающие символы тоже будет несложно.
Исследователь объяснял, что уязвимость затрагивает последнюю версию KeePass, 2.53.1, и, поскольку программа опенсорсная, вероятно, затронуты любые форки проекта. При этом, по его словам, уязвимости не были подвержены KeePass 1.X, KeePassXC и Strongbox.
Тогда разработчик KeePass Доминик Райхл (Dominik Reichl) сообщил, что ему известно об этой ошибке и пообещал выпустить патч для CVE-2023-32784 к началу июня.
В минувшие выходные Райхл представил обновленный KeePass версии 2.54 и рекомендовал всем пользователям версий 2.x как можно скорее перейти на новую версию.
Теперь обновленный менеджер паролей использует Windows API для установки или извлечения данных из текстовых полей, предотвращая создание управляемых строк, которые в теории могут быть выгружены из памяти. Также разработчик внедрил в память процесса KeePass фиктивные фрагменты, содержащие случайные символы, которые будут иметь примерно ту же длину, что и мастер-пароль пользователя, тем самым обфусцируя настоящий ключ и мешая извлечению фрагментов пароля из памяти.
Пользователям, которые не могут выполнить обновление до KeePass 2.54, рекомендуется сбросить мастер-пароль, удалить crash-дампы, файлы гибернации и файлы подкачки, которые могут содержать фрагменты мастер-пароля, а лучше выполнить чистую установку ОС.
