Пользователи чрезвычайно популярного кроссплатформенного менеджера паролей KeePass находятся под угрозой.
Исследователем из Security Assessment Денисом Андзаковичем обнародован на GitHub бесплатный инструмент KeeFarce, предназначенный для расшифровки всех паролей, логинов и заметок, которые хранит менеджер. После запуска KeeFarce на компьютере пользователя, авторизованного в KeePass, производится дешифровка всего архива с паролями и его сохранение в виде отдельного файла, который злоумышленник может забрать в любое время.
Принцип работы KeeFarce основан на DLL-инъекции, то есть на вмешательстве постороннего приложения в процессы целевого приложения путем инъекции кода DLL. Вредоносным кодом в самом менеджере паролей осуществляется запуск вполне легитимной функции экспорта. С помощью этой функции осуществляется сохранение базы данных, открытой в этот момент, в виде CSV-файла.
Проблему DLL-инъекций нельзя считать багом KeePass, поскольку им затронут не только данный менеджер. В то же время, совместив KeeFarce с применением вредоносного ПО и техник удаленных атак, можно получить хорошее решение для хищения паролей. KeeFarce, будучи включенным в состав Metasploit, тоже будет может быть очень опасен. По словам Андзаковича, уже сейчас возможен запуск KeeFarce в Metasploit вручную.