Эксплуатация ошибки позволяет злоумышленнику осуществить атаку «человек посередине» и обманом заставить жертву загрузить вредоносное ПО.
Независимый исследователь безопасности Флориан Богнер (Florian Bogner) обнаружил уязвимость в системе автоматического обновления менеджера паролей KeePass. Эксплуатация ошибки позволяет злоумышленнику осуществить атаку «человек посередине» и обманом заставить жертву загрузить вредоносное ПО.
Уязвимости (CVE-2016-5119) подвержены все версии KeePass, в том числе 2.33. По словам Богнера, передача обновлений осуществляется по протоколу HTTP. Это позволяет атакующему применить технику ARP-подмены (ARP-spoofing) или использовать вредоносную точку доступа Wi-Fi для модификации ответа сервера. В результате жертва будет думать, что загружает официальное обновление, но на деле ее компьютер будет инфицирован вредоносным ПО.
При наличии обновления на экране компьютера появится соответствующее диалоговое окно со ссылкой, ведущей на официальный сайт KeePass. Однако входящий/исходящий трафик передается в незашифрованном виде, что позволяет злоумышленнику перехватить его, пояснил Богнер.
В подтверждение исследователь опубликовал PoC-видео с демонстрацией атаки.
Разработчикам KeePass известно о проблеме, однако они не намерены ее исправлять. По словам создателя менеджера паролей Доминика Рейкла (Dominik Reichl), косвенная стоимость перехода на использование протокола HTTPS (речь идет о потере прибыли от рекламы) поставит под угрозу существование проекта.
Гравитация научных фактов сильнее, чем вы думаете