Se usa o Keepass é melhor ter muito cuidado! Falha grave que revela a password mestra
Um gestor de passwords com o Keepass é uma ferramenta que nos habituamos a ver como essencial num PC. Para além de facilitar a vida ao utilizador, é a garantia de que estes estão protegidos. A verdade é que nem sempre acontece e agora é o Keepass a mostrar uma vulnerabilidade que revela a password mestra do utilizador.
No momento de escolher um bom gestor de passwords o Keepass é muitas vezes a escolha óbvia para muitos. Com provas dadas, esta solução é a garantia de proteção dos utilizadores e das suas passwords, seja em que situação for.
Mas o Keepass também pode ter falhas e uma revelou-se agora, com um grau de perigo grande para os utilizadores. De forma relativamente simples, os atacantes podem explorar uma vulnerabilidade e ter acesso fácil à password mestra do e assim depois abrir caminho a muitos mais dados sensíveis.
O mais grave neste problema é que não é necessário executar qualquer código no PC da vítima. Basta um dump de memória para poder ser obtida a informação. Pode vir do processo, arquivo de troca (pagefile.sys), arquivo de hibernação (hiberfil.sys) ou RAM dump do sistema.
Esta falha existe porque o software usa uma caixa de entrada de passwords personalizada. Com o nome "SecureTextBoxEx", deixa rastos de cada caractere que o utilizador escrever e que seja guardado na memória do sistema operativo.
Do que se sabe, a vulnerabilidade afeta a versão mais recente do KeePass, 2.53.1. Como este software é de código aberto, qualquer fork do projeto provavelmente será afetada pela mesma falha. O Keepass já assumiu o problema e terá uma correção da mesma em breve.
Sem uma solução imediata, a forma de se proteger por agora é mesmo as mais comuns. Evitar software estranho e que possa comprometer o PC, dando depois acesso a tudo o que por ali passa, incluindo os dumps de memória que o Keepass possa permitir gerar.
Este artigo tem mais de um ano
Sempre que o keepass está em execução com o cofre aberto, é possível recuperar a chave. Independentemente desta vulnerabilidade ou não…
Mesmo depois de fechado ou locked é possível recuperar através desta falha.
Se alguém tiver acesso ao terminal de forma a conseguir correr este exploit também consegue ter um keylogger a correr…
É só experts aqui, mas nenhum se lembra de correr numa VM sem ligação a Internet?
Tantas opções, tantas maneiras de tornar-lo ainda mais seguro.
Admira-me. Mas prontos. Nada que uma VM sem ligação e autorun desligados não ajude.
Uso o KeepassXC que não tem esse problema.
Onde viste que não tem esse problema?
É daquelas vulnerabilidades que já implica acesso acesso ao sistema com permissões suficientes para correr a prompt. Isto significa que para além do Keepass talvez hajam problemas maiores com que se preocupar…
Convém assinalar que uma das maneiras de protecção do chaveiro no keepass, é utilização de palavra chave composta (master password + keyfile). Assim, mesmo com acesso à palavra passe mestra, é necessário o key file para conseguir aceder ao chaveiro! Algum report de esta vulnerabilidade também poder afectar esta método de autenticação?
Se tens alguma duvida contacta-lhes. Essa falha vai ser corrigida no próximo update de certeza.
Agora é preciso avisar a fonte de que existe a vulnerabilidade e colocar essas questões não?
Também uso o keepass embora recentemente passei para o keepass XC, visualmente parece-me mais evoluído e já não é preciso gravar a entrada ou alteração. Também sofre do mesmo problema? Vou estar atento ao site deles.
ainda há quem defenda estes gestores de passwords…
O Keepass continua a ser muito mais seguro que 90% das apps e software de gestão de passwords online.
Se usares o Keepass num VM ou num pc sem ligação a internet o que poderão fazer? Well só se tiveres um ladrão dentro de casa…
E há chave mestra. Keepass continua seguro
Continua seguro em uma VM completamente offline e com Firewall a bloquear todas as ligações.
Continuem a usar, continua seguro.
Enquanto a vulnerabilidade é reportar. Em breve é corrigida.
Keepass forever.
+1
É isto. Há outras camadas de segurança, a firewall é mandatório.
Se os pagos já sofrem com problemas, os gratuitos não iriam ser o milagre da tecnologia.