KeePass Flaw Exposes Master Passwords
2023/05/19 InfoSecurity — パスワード管理ソフトウェアの KeePass 2.X に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プログラムのメモリからマスター・パスワードをダンプすることが可能になる。脆弱性 CVE-2023-32784 は、セキュリティ研究者の Dominik Reichl により発見されたものであり、2023年6月上旬にリリースされる KeePass 2.54 で修正される予定だ。5月18日に Reichl が、この脆弱性を詳述するセキュリティ・レポートを GitHub で公開している。その中で、この脆弱性は、マスター・パスワードがキーボードで入力された場合にのみ悪用され、クリップボードからコピーされた場合には悪用されないことも明らかにされた。
KeePass の脆弱性は、パスワード入力に使用される SecureTextBoxEx と呼ばれるテキスト・ボックスが起因している。このボックスは、文字が入力された際にメモリ上に残置文字列を作成し、.NET の動作との関係により削除が困難となる。
たとえば、”Password” と入力すると、”•a/••s/•••s/••••w/•••••o/••••••r/•••••••d” といった文字列がメモリに残留する。Reichl が開発した PoC (Proof-of-Concept) アプリは、メモリ・ダンプをスキャンして、各ポジションでパスワードになりそうな文字列を示唆できるという。
さらに重要なのは、この攻撃で必要なのはメモリ・ダンプのみであり、ターゲットシステム上でのコード実行は必要としない点である。メモリ内容の取得は、システム全体の RAM ダンプを含むファイルなどから行える。
この脆弱性は、ワークスペースのロック状態を回避することも可能であり、KeePass が実行されなくなった後であっても、メモリからパスワードを抽出できる (ただし、時間が経つと可能性は低くなる )。
この脆弱性が原因となるリスクを軽減するためにも、KeePass 2.54 以降のバージョンへのアップデートが推奨される。
Reichl は、「データカービング (data carving) を防ぐために、マスターパスワードの変更/コンピュータの再起動に加えて、ハイバネーション/ページスワップ・ファイルの削除および、HDD (Hard Disk Drive) の削除データの上書きなどを推奨する。また、セキュリティを最大限に確保するために、OS の新規インストールも推奨する」と、KeePass ユーザーに警告している。
なお、KeePass の開発元は、KeePassXC/Strongbox/KeePass 1.X といった一部の KeePass ベースの製品は、この脆弱性の影響を受けないことを明らかにしている。
2023年2月に発生した、LastPass の侵害事件により、パスワード・マネージャーのセキュリティが注目された。それから数ヶ月後に、このセキュリティ・レポートが発表された。
KeePass に関しては、2023/01/30 の「KeePass のパスワード窃取の脆弱性 CVE-2023-24055:開発者は反論を唱える」が、興味深い内容でした。また、文中で説明されている LastPass インシデントに関しては、LastPass で検索を、ご利用ください。
2023/04/28:ViperSoftX 情報スティーラー:KeePass も標的
2022/11/03:RomCom RAT:KeePass の偽サイトに御用心
You must be logged in to post a comment.