Jestli jsem to dobře pochopil, tak je to problém uživatele Windows, který si otevře KeePass databázi a poté nechá někoho pustit Password Dumper.
Password dumper je jenom nastroj zneuzivajici zranitelnost. Prakticke zneuziti by vypadalo ve stylu ziskani pristupu na pocitac nekoho s keepass databazi, jakmile ji otevre tak ziskani hesel z databaze a povyseni prav diky nekteremu uctu z databaze. Mam klienta ktery pouziva keepass, lidi na pocitacich nemaji admin prava ale jenom user prava, pripojuji se na ruzne rdgw a hesla k uctum na nich maji prave v keepass.
Myslím, že to, že nějaký malware na běžícím systému udělá RAM dump není ten hlavní problém.
Jde spíš o to, že to heslo bude časem v pagefile (swapfile), hiberfilu, crashdumpu apod. Čili pokud počítač nemá zašifrovaný disk (pořád default u Windows PC, ne?), tak mi stačí z ukradeného PC vytáhnout disk a mám heslo. Čili jako kdybych měl ta hesla v texťáku.
Vypadá to, že i když je KeePass "zamčený" a nic by v paměti nemělo podle stránek KeePassu být, stejně tam to heslo bude.
V korporátním prostředí obojí není zrovna ideální. Zkušený uživatel co má zašifrovaný disk a silné heslo k účtu asi bude ok (ale to potom mohl použít ten texťák).
V korporátu máte bitlocker, a uživatel nemá admina, to část problému řeší.
Pravda, zranitelnost je to nemilá (a že se citlivá data mají hned po použití přepsat se psalo v best practices už před čtvrtstoletím), na stranu druhou, pokud už má útočník práva nutná k provedení útoku, může dělat řadu mnohem ošklivějších věci.
je to možná 5 let, co jsme tohle přímo hlásili týmu KeePass, heslo v paměti je nešifrované a objevuje se v core dumpech, také jsme hlásili, že je možné změnit xml konfiguraci a nechat si exportovat všechna hesla.
A teď po několika letech vidím, že vzniklo nové CVE. Skoro to vypadá, že Keepass bezpečnost bere trochu obloukem a je mu potna.
Mimochodem držení nešifrovaného hesla v nechráněnné paměti není problém pouze KeePassu.
A neopravili to tehdy náhodou? Co čtu to forum to vypadá, že KeePass v tomto patřil k těm lepším a proto to snad teď brzo opraví. https://sourceforge.net/p/keepass/discussion/329220/thread/f3438e6283/#65fb/ccca
Na stránkách mají, že pokud si to heslo nezobrazíš kliknutím na tlačítko, nemělo by být v paměti nechráněné.
To s tím XML je taky CVE, myslím, že vzniklo pár měsíců zpět. Ale tam to autor rozporuje, že to není relevantní útok.
Ano, opravili to, resp. heslo z paměti smazali. Teď se ale ukazuje, že ho nesmazali ze všech míst a trpí stejným problémem, se kterým se musely nedávno vypořádat i prohlížeče. Standardní input text formulářový prvek má dlouhou paměť a není určen k zadávání hesla.
Bohužel nemají veřejně kódy nevydaných verzí, takže těžko zjistíme jak to opravili a co vlastně bylo špatně. V předchozím případě to spojili s refaktorem, takže bylo velice těžké zvalidovat, že to opravili správně.
S tím xml to je vtipné, to odmítají opakovaně, přitom kdokoliv má přístup ke konfiguračním souborům (na windows i linuxu jakýkoliv proces, který běží pod uživatelem) může donutit keepass udělat kompletní export dat. Ostatní správci to řeší tak, že při exportu vyžadují znovu master heslo a nedovolí udělat export na pozadí bez povšimnutí, keepass ano.
Mně se přístup a chování lidí kolem keepass nelíbí (osobní názor), u SW, u kterého každá slabina znamená pro uživatele strašně moc by měli daleko odpovědněji k tomu přistupovat.
Naopak, vypadá to, že jde jen o KeePass 2.X (.NET) a spíš bude problém v konkrétní implementaci toho text boxu. Forky napsané v něčem jiném, co podporují KDBX, tento problém nemají (KeePassXC, KeePass 1.X (C++) etc.)
https://github.com/keepassxreboot/keepassxc/discussions/9433