꿈을꾸는 파랑새

비밀번호 관리를 도와주는 프로그램인 KePass 에서 CVE-2023-3278 취약점 인한 마스터 암호를 복구 문제가 발생했습니다. 시스템이 실행 중이 아니거나 잠기지 않은 경우에도 시스템 메모리 덤프에서 마스터 암호를 복구할 수 있는 문제입니다.
KeePass의 개발자인 Dominik Reichl은 향후 2개월 내에 릴리스될 예정인 KeePass 2.54 릴리스에서 패치를 진행할 예정입니다.
해당 문제를 발견한 연구원은 KeePass 2.X Master Password Dumper 도구는 메모리 덤프(예: pagefile.sys, hiberfil.sys 또는 KeePass 프로세스 덤프)를 분석하여 마스터 암호를 일반 텍스트로 반환하는 소스를 공개했습니다.
취약점은 첫 번째 암호를 제외한 마스터 암호의 모든 문자를 반환할 수 있으며 빠진 단일 문자를 찾으려고 테스트를 실행하기는 쉽지 않습니다. 해당 취약점은 SecureTextBoxEx로 인해 문제가 발생하면 가능한 시나리오는 암호 관리자의 마스터 암호를 반환할 수 있으므로 컴퓨터에 대한 포렌식 조사입니다.
해당 취약점을 보호하는 방법은 전체 디스크 암호화와 강력한 암호를 사용을 사용합니다.
KeePass 마스터 암호를 복구하려면 메모리 덤프를 검색해야 하므로 CVE-2023-32784를 악용하려면 대상 시스템에 대한 물리적 액세스 또는 맬웨어 감염이 필요하며 정보를 훔치는 맬웨어는 KeePass가 컴퓨터에 존재하는지 또는 실행 중인지 신속하게 확인할 수 있으며, 그렇다면 프로그램의 메모리를 덤프하고 프로그램과 KeePass 데이터베이스를 다시 공격자에게 보내어 메모리 덤프에서 일반 텍스트 암호를 오프라인으로 검색하도록 할 수 있음
새 버전이 출시되고 마스터 비밀번호가 여전히 메모리 파일에 저장되어 있을 수 있음

Master Password Dumper

KePass
KePass

해결 방법
KeePass 2.54 이상으로 업데이트
오랫동안 KeePass를 사용했다면 마스터 암호(및 잠재적으로 다른 암호)가 페이지 파일/스왑 파일 최대 절전 모드 파일 및 크래시 덤프에 있을 수 있음
편집 수준에 따라 다음 단계를 고려하여 문제를 해결할 수 있음
마스터 비밀번호 변경
크래시 덤프 삭제(OS에 따라 다름, Windows에서는 최소한 C:\Windows\memory.dmp, 그러나 아마도 다른 사람들이 있을 수 있습니다.)
최대 절전 모드 파일 삭제
페이지 파일/스왑 파일 삭제(상당히 번거로울 수 있음, 다시 활성화하는 것을 잊지 마십시오.)
조각을 방지하기 위해 HDD에서 삭제된 데이터를 덮어씀
컴퓨터를 다시 시작 또는 HDD를 덮어쓰고 OS를 새로 설치
경험상. NET으로 작성된 원래 KeePass 2.X 앱이 아닌 경우 영향을 받지 않을 가능성이 높음
KeePassXC
Strongbox
KeePass 1.X
대부분은 컴퓨터를 다시 시작하고 스왑 파일과 최대 절전 모드 파일을 지우고 새 버전이 출시될 때까지 KeePass를 사용하지 않는 것이 당분간 합리적인 안전 조치이며 
싱 공격에 주의하여 위협 행위자가 장치 및 KeePass 데이터베이스에 대한 원격 액세스를 제공할 수 있음

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band