Son aylarda ikinci kez bir güvenlik araştırmacısı, yaygın olarak kullanılan KeePass açık kaynaklı şifre yöneticisinde bir güvenlik açığı keşfetti.
Bu, Windows, Linux ve macOS için KeePass 2.X sürümlerini etkiler ve saldırganlara, kullanıcının çalışma alanı kapalıyken bile bir hedefin ana parolasını bir bellek dökümünden açık metin olarak alma yolu sunar.
KeePass’ın bakıcısı kusur için bir düzeltme geliştirmiş olsa da, 2.54 sürümünün yayınlanmasına kadar (muhtemelen Haziran başında) genel kullanıma sunulmayacak. Bu arada, CVE-2023-32784 olarak izlenen güvenlik açığını keşfeden araştırmacı, GitHub’da bunun için bir kavram kanıtı yayınladı.
GitHub’da güvenlik araştırmacısı “vdhoney”, “Hedef sistemde kod yürütülmesi gerekmez, yalnızca bir bellek dökümü gerekir” dedi. “Hafızanın nereden geldiği önemli değil – tüm sistemin işlem dökümü, takas dosyası (pagefile.sys), hazırda bekletme dosyası (hiberfil.sys) veya RAM dökümü olabilir.”
Araştırmacı, yerel kullanıcı çalışma alanını kilitlese ve KeePass artık çalışmıyor olsa bile bir saldırganın ana parolayı ele geçirebileceğini söyledi.
Vdhoney, güvenlik açığını yalnızca ana bilgisayarın dosya sistemine veya RAM’ine okuma erişimi olan bir saldırganın yararlanabileceği bir güvenlik açığı olarak tanımladı. Ancak çoğu zaman bu, bir saldırganın bir sisteme fiziksel erişimi olmasını gerektirmez. Uzak saldırganlar, bu tür erişimleri bu günlerde güvenlik açıklarından yararlanma, kimlik avı saldırıları, uzaktan erişim Truva Atları ve diğer yöntemlerle rutin olarak elde etmektedir.
Araştırmacı, “Sofistike biri tarafından özel olarak hedef alınmayı beklemiyorsanız, sakin kalırım” diye ekledi.
Vdhoney, güvenlik açığının “SecureTextBoxEx” adı verilen şifreleri girmek için özel bir KeyPass kutusunun kullanıcı girişini nasıl işlediğiyle ilgili olduğunu söyledi. Araştırmacı, kullanıcı bir parola yazdığında, bir saldırganın parolayı açık metin olarak yeniden birleştirmesine izin veren artık dizeler olduğunu söyledi. “Örneğin, ‘Parola’ yazıldığında, şu artık dizelerle sonuçlanacaktır: •a, ••s, •••s, ••••w, ••••••o, •••••• r, •••••••d.”
Haziran Başında Yama
SourceForge’daki bir tartışma dizisinde, KeePass yöneticisi Dominik Reichl sorunu kabul etti ve sorunu çözmek için şifre yöneticisinde iki geliştirme uyguladığını söyledi.
Reichel, geliştirmelerin diğer güvenlikle ilgili özelliklerle birlikte bir sonraki KeePass sürümüne (2.54) dahil edileceğini söyledi. Başlangıçta bunun önümüzdeki iki ay içinde gerçekleşeceğini belirtti, ancak daha sonra yeni sürüm için tahmini teslim tarihini Haziran başı olarak revize etti.
Reichl, “Açıklığa kavuşturmak gerekirse, ‘önümüzdeki iki ay içinde’ üst sınır olarak kastedildi,” dedi. “KeePass 2.54 sürümü için gerçekçi bir tahmin muhtemelen ‘Haziran başında’dır (yani 2-3 hafta), ancak bunu garanti edemem.”
Password Manager Güvenliği Hakkında Sorular
KeePass kullanıcıları için bu, son aylarda araştırmacıların yazılımla ilgili bir güvenlik sorununu ikinci kez ortaya çıkarışı. Şubat ayında, araştırmacı Alex Hernandez, KeePass’ın XML yapılandırma dosyasına yazma erişimi olan bir saldırganın, parola veri tabanından açık metin parolaları alacak ve bunu saldırgan tarafından kontrol edilen bir sunucuya sessizce aktaracak şekilde nasıl düzenleyebileceğini gösterdi.
Güvenlik açığına resmi bir tanımlayıcı (CVE-2023-24055) atanmış olsa da, KeePass bu açıklamaya itiraz etti ve parola yöneticisinin yerel bir bilgisayarda zaten yüksek düzeyde erişime sahip olan birinin saldırılarına dayanacak şekilde tasarlanmadığını ileri sürdü.
KeePass o sırada “İşletim ortamı kötü niyetli bir aktör tarafından ele geçirildiğinde hiçbir parola yöneticisinin kullanımı güvenli değildir” demişti. “Çoğu kullanıcı için, KeePass’ın varsayılan kurulumu, zamanında yamalı, uygun şekilde yönetilen ve sorumlu bir şekilde kullanılan bir Windows ortamında çalışırken güvenlidir.”
Yeni KeyPass güvenlik açığı, parola yöneticisi güvenliği hakkındaki tartışmaları bir süre daha canlı tutabilir. Son aylarda, büyük parola yöneticisi teknolojileriyle ilgili güvenlik sorunlarının altını çizen birkaç olay oldu. Örneğin Aralık ayında LastPass, bir tehdit aktörünün, şirkete daha önceki bir izinsiz girişin kimlik bilgilerini kullanarak üçüncü taraf bir bulut hizmeti sağlayıcısında depolanan müşteri verilerine eriştiği bir olayı ifşa etti.
Ocak ayında Google’daki araştırmacılar, Bitwarden, Dashlane ve Safari Password Manager gibi şifre yöneticilerinin kullanıcı kimlik bilgilerini güvenilmeyen sayfalara yönlendirilmeden otomatik olarak doldurması konusunda uyarıda bulundu.
Bu arada tehdit aktörleri, muhtemelen bu tür sorunların bir sonucu olarak parola yöneticisi ürünlerine yönelik saldırıları artırdı.
Ocak ayında, Bitwarden ve 1Password, Google arama sonuçlarında, reklamları açan kullanıcıları şifre yöneticilerinin sahte sürümlerini indirmek için sitelere yönlendiren ücretli reklamlar gözlemlediklerini bildirdi.