Користувачі популярного кроссплатформенного менеджера паролів KeePass під загрозою. Дослідник представив безкоштовний інструмент для розшифровки всіх паролів, логінів і заміток, які зберігає менеджер.
«Суть в тому, що KeeFarce дістає весь вміст пральний бази даних. Наприклад, пентестер вже отримав доступ адміністратора домену до мережі, але хоче також отримати доступ до мережевого «залозу», не пов'язаної з доменом інфраструктурі і так далі. Тоді пентестеру досить скомпрометувати машину системного адміністратора, скориставшись KeeFarce для викрадення паролів з KeePass », - розповів Андзаковіч Ars Technica.
Принцип роботи KeeFarce базується на DLL-ін'єкції, тобто стороннє додаток втручається в процеси додатки-жертви через ін'єкцію DLL коду. Шкідливий код запускає в самому менеджері паролів цілком легітимну процедуру експорту, завдяки якій, відкрита в цей момент БД (включаючи всі логіни, паролі, замітки і URL, що зберігаються в ній) зберігається в CSV файл, у вигляді простого тексту.
З одного боку, проблема DLL-ін'єкцій стосується не тільки KeePass, і це складно вважати багом менеджера. З іншого боку, це відмінне рішення для крадіжки паролів, якщо поєднати KeeFarce з використанням малварі і будь-яких технік віддалених атак. Будучи включений до складу Metasploit або інших фремворков такого роду, KeeFarce теж буде дуже небезпечною штукою. Андзаковіч зазначає, що запустити KeeFarce вручну в Metasploit можливо вже зараз.
Поділися новиною з друзями: