Trình quản lý mật khẩu KeePass người dùng có thể muốn thận trọng hơn trong vài tuần tới hoặc lâu hơn. MỘT lỗ hổng mới được phát hiện cho phép truy xuất mật khẩu chủ trong bản rõ, ngay cả khi cơ sở dữ liệu bị khóa hoặc chương trình bị đóng. Và trong khi bản sửa lỗi đang được thực hiện, nó sẽ không đến sớm nhất là vào đầu tháng XNUMX.

(Cập nhật, 6/5/2023: KeePass phiên bản 2.54, bản vá lỗ hổng này, hiện đã có sẵn.)

Theo báo cáo của Máy tính ngủ đêm (bao gồm vấn đề với đầy đủ chi tiết kỹ thuật), một nhà nghiên cứu bảo mật có tên là vdohney đã xuất bản một công cụ chứng minh khái niệm chứng minh hoạt động khai thác. Kẻ tấn công có thể thực hiện kết xuất bộ nhớ để thu thập hầu hết mật khẩu chính ở dạng văn bản gốc, ngay cả khi cơ sở dữ liệu KeePass bị đóng, chương trình bị khóa hoặc chương trình không còn mở. Khi lấy ra khỏi bộ nhớ, một hoặc hai ký tự đầu tiên của mật khẩu sẽ bị thiếu, nhưng sau đó có thể đoán được toàn bộ chuỗi.

Đối với những người không quen với các lỗ hổng hủy bộ nhớ, bạn có thể nghĩ về tình huống này hơi giống mật khẩu chính của KeePass như tiền lẻ trong túi quần. Lắc chiếc quần ra và bạn nhận được gần như toàn bộ đô la (có thể nói như vậy) cần thiết để mua quyền truy cập vào cơ sở dữ liệu — nhưng ngay từ đầu những đồng xu đó không nên trôi nổi trong túi đó.

Công cụ chứng minh khái niệm cho thấy vấn đề này trong Windows, nhưng Linux và macOS được cho là cũng dễ bị tấn công, vì vấn đề tồn tại bên trong KeePass chứ không phải hệ điều hành. Tài khoản người dùng chuẩn trong Windows cũng không an toàn—việc hủy bộ nhớ không yêu cầu đặc quyền quản trị. Để thực hiện việc khai thác, một tác nhân độc hại sẽ cần quyền truy cập vào máy tính từ xa (có được thông qua phần mềm độc hại) hoặc vật lý. 

Tất cả các phiên bản hiện có của KeePass 2.x (ví dụ: 2.53.1) đều bị ảnh hưởng. Trong khi đó, KeePass 1.x (phiên bản cũ hơn của chương trình vẫn đang được duy trì), KeePassXC và Strongbox, những trình quản lý mật khẩu khác tương thích với các tệp cơ sở dữ liệu KeePass, không bị ảnh hưởng theo vdohney.

Bản sửa lỗi cho lỗ hổng này sẽ có trong KeePass phiên bản 2.54, có thể sẽ ra mắt vào đầu tháng XNUMX. Dominick Reichl, nhà phát triển của KeePass, đã đưa ra ước tính này trong một diễn đàn sourceforge cùng với lời cảnh báo rằng khung thời gian không được đảm bảo. MỘT phiên bản thử nghiệm không ổn định của KeePass với các biện pháp giảm thiểu bảo mật hiện có sẵn. Bleeping Computer báo cáo rằng người tạo ra công cụ khai thác bằng chứng khái niệm không thể tái tạo sự cố với các bản sửa lỗi tại chỗ.

Tuy nhiên, ngay cả sau khi nâng cấp lên phiên bản cố định của KeePass, mật khẩu chính vẫn có thể xem được trong các tệp bộ nhớ của chương trình. Để bảo vệ hoàn toàn khỏi điều đó, bạn sẽ phải xóa hoàn toàn PC của mình bằng chế độ ghi đè lên dữ liệu hiện có, sau đó cài đặt lại hệ điều hành mới.

Đó là một động thái khá quyết liệt, tuy nhiên. Hợp lý hơn, không cho phép những cá nhân không đáng tin cậy truy cập vào máy tính của bạn và không nhấp vào bất kỳ liên kết không xác định nào hoặc cài đặt bất kỳ phần mềm không xác định nào. Một chương trình chống vi-rút tốt (như một trong những trong số các khuyến nghị hàng đầu của chúng tôi) cũng giúp. Khi phiên bản cố định của KeePass ra mắt, bạn cũng có thể thay đổi mật khẩu chính của mình sau khi nâng cấp—làm như vậy sẽ khiến mật khẩu trước đó không còn phù hợp nếu nó vẫn ẩn trong các tệp bộ nhớ của bạn.

Bạn cũng có thể giảm mức độ phơi nhiễm của mình bằng cách khởi động lại PC, xóa các tệp hoán đổi và ngủ đông, đồng thời tạm thời truy cập cơ sở dữ liệu KeePass của bạn bằng một giải pháp thay thế an toàn như KeePassXC. Mã hóa thiết bị cũng có thể giúp chống lại cuộc tấn công vật lý vào PC của bạn (hoặc nếu bạn cho rằng ai đó có thể khai thác thông tin này sau khi bạn quyên góp hoặc làm hỏng PC). Có nhiều cách để được bảo vệ—và may mắn thay, điều này dường như chỉ là mối quan tâm về bằng chứng khái niệm, hơn là một hoạt động khai thác tích cực.

Lưu ý của biên tập viên: Bài viết này ban đầu được xuất bản vào ngày 19 tháng 2023 năm 5 và được cập nhật vào ngày 2023 tháng 2.54 năm XNUMX với liên kết đến KeePass phiên bản XNUMX, bản vá lỗ hổng này.