最好的密码管理器旨在确保您所有登录信息和信用卡信息的安全,但一个重大的新漏洞刚刚使 KeePass 密码管理器的用户面临被破坏的严重风险。
事实上,该漏洞允许攻击者以纯文本形式窃取 KeePass 用户的主密码——换句话说,以未加密的形式——只需从目标计算机的内存中提取即可。这是一个非常简单的黑客攻击,但可能会产生令人担忧的影响。
KeePass 等密码管理器会锁定您的所有登录信息以确保其安全,并且所有这些数据都密封在主密码之后。您输入主密码即可访问存储在保管库中的所有内容,这使其成为黑客的宝贵目标。
据Bleeping Computer报道,KeePass 漏洞是由安全研究员“vdohney”发现的,他在 GitHub 上发布了一个概念验证 (PoC) 工具。该工具能够以可读的、未加密的形式提取几乎整个主密码(除了前一两个字符)。如果 KeePass 被锁定,甚至在应用程序完全关闭的情况下,它甚至可以执行此操作。
那是因为它从 KeePass 的内存中提取了主密码。正如研究人员解释的那样,这可以通过多种方式获得:“内存来自何处并不重要——可以是进程转储、交换文件 (pagefile.sys)、休眠文件 (hiberfil.sys) 或 RAM整个系统的转储。”
由于 KeePass 使用了一些自定义代码,该漏洞得以存在。当您输入主密码时,您会在一个名为 SecureTextBoxEx 的自定义框中执行此操作。尽管有这个名字,但事实证明这个盒子毕竟不是那么安全,因为输入盒子的每个字符基本上都会在系统内存中留下它自己的剩余副本。 PoC 工具找到并提取的正是这些残余字符。
修复即将到来
对此安全漏洞的一个警告是它需要对要从中提取主密码的机器进行物理访问。但这不一定总是一个问题——正如我们在LastPass 漏洞利用传奇中看到的那样,黑客可以使用安装在计算机上的易受攻击的远程访问应用程序来访问目标计算机。
如果目标计算机感染了恶意软件,它可以配置为转储 KeePass 的内存并将它和应用程序的数据库发送回黑客自己的服务器,从而允许威胁参与者在他们自己的时间提取主密码。
幸运的是,KeePass 的开发人员表示修复程序即将到来,其中一种可能的补救措施是将随机虚拟文本插入应用程序的内存中,从而混淆密码。该修复程序预计要到 2023 年 6 月或 2023 年 7 月才会发布,对于担心主密码泄露的任何人来说,这可能是一段痛苦的等待。不过,开发人员还发布了修复程序的测试版,可以从 KeePass 网站下载。
该漏洞只是表明即使是密码管理器等看似安全的应用程序也可能遭到破坏,这并不是第一次在 KeePass 中发现严重的漏洞。如果你想保护自己免受在线威胁,比如这个最新的漏洞利用,请避免下载应用程序或打开来自未知发件人的文件,避开有问题的网站,并使用防病毒应用程序。当然,永远不要与任何人分享您的密码管理器的主密码。