KeePass 密码管理器发现新漏洞

主要要点

• 最近在开源密码管理器 KeePass Password Safe 中发现了一个新漏洞，允许攻击者直接从软件内存中提取主密码。
• 漏洞编号为 CVE-2023-32784，影响 KeePass 2.x 版本 2.54 之前的版本。
• 漏洞的存在使恶意用户能够从内存中恢复明文主密码。
• KeePass 计划在 6 月初发布补丁以修复该漏洞。

KeePass Password Safe 是一款广受欢迎的开源密码管理工具，但最近发现的一个漏洞使攻击者有可能直接从软件的内存中提取主密码。
的研究人员指出，此漏洞（）使得攻击者可以利用这个可被利用的漏洞来获取解锁用户密码数据库所需的主密钥。KeePass已()表示计划在
6 月初发布修补程序。

今年研究人员第二次发布了与 KeePass 相关的重要漏洞信息，第一次是在，当时一位独立的安全研究人员报告了 KeePass密码管理器的一个缺陷。

这次的漏洞存在于 KeePass 2.x 版本的 2.54 之前，恶意行为者可能通过各种内存来源恢复明文主密码。Vulcan Cyber研究人员表示，这些来源包括 KeePass 进程转储、交换文件、休眠文件，甚至完全的系统 RAM 转储。

揭示此漏洞的研究人员”vdohney”在 GitHub 上发布了一款。该工具有效地展示了如何从 KeePass 的内存中获取主密码，除了首字符之外。Vulcan Cyber的研究人员强调，这一漏洞的利用并不要求在目标系统上执行代码，攻击者即使在工作区被锁定或 KeePass 不再活跃的情况下，也可以完成此操作。

据 Vulcan Cyber 的高级技术工程师 Mike Parkin解释，密码管理器流行的原因在于用户能够为每个网站或应用程序生成和使用独特且复杂的密码，而无需记住每一个密码。用户只需记住单个应用程序的密码，而不是多个。然而，Parkin指出如果攻击者能够找到并利用缺陷，这些密码管理器便变得非常有价值。

“攻击者不仅能够访问你一个网站的账户，而是能够访问你所有的网站，”Parkin 说。“最近在 KeePass
中发现的漏洞就是这种风险的一个很好的例子。幸运的是，似乎没有办法在未获得目标系统访问权限的情况下进行远程攻击。不过，如果系统已经被攻陷，攻击者可能通过这种攻击获取存储在
KeePass 中的密码。像所有安全漏洞一样，最佳实践是尽快更新到最新版本，并检查可能存在漏洞的主机，确保它们没有被攻陷。”

Inversion6 的首席信息安全官 Chris Clymer 补充道，尽管 KeePass的新漏洞令人担忧，但看到已经有修复计划并即将发布是件令人欣慰的事情。Clymer 认为，KeePass的用户可能会更加受益于研究人员私下披露此漏洞，并在发布漏洞代码之前等待修复完成。

“研究人员通常面临快速寻求关注的压力，因而在补丁发布之前急于处理这些问题，”Clymer
说。“最终，这种攻击需要本地访问用户系统。在这种情况下，攻击者可以通过安装键盘记录器或利用用户身份验证后的应用程序和网页会话来达到类似目的。虽然了解到
KeePass 的主密码可以从内存中提取听上去不好，但它本身并不是为了防范本地攻击者而设计的。如果攻击者只需获得用户的 KeePass
数据库，他们的凭据仍将受到保护。”

请确保保持 KeePass 更新并定期检查安全设置，以降低潜在风险。