Hace poco vi este nuevo ataque en KeePass (consulte aquí y el código fuente ). No sé cómo usar este ataque (soy un novato en estas cosas), así que quiero saber:
Entiendo que una pregunta puede responderse con una respuesta a la otra, pero cualquier ayuda para entender esto sería apreciada.
El trasfondo es que no importa cuán consciente de la seguridad pueda tener el programador, si la plataforma tiene un administrador malvado (o procesos malvados con privilegios de administrador) es de esperar.
¿Qué significa para un usuario?
Como se menciona en la página de github que vinculaste:
Permite la extracción de material clave KeePass 2.X de la memoria, como así como el backdooring y la enumeración del sistema de activación KeePass.
Hacia la parte inferior de la página:
El archivo KeeThief.ps1 de PowerShell contiene Get-KeePassDatabaseKey, que carga / ejecuta el ensamblaje de KeeTheft en la memoria para extraer Material KeePass de un proceso KeePass.exe con una base de datos abierta.
El archivo KeePassConfig.ps1 contiene un método para enumerar la configuración de KeePass archivos en un sistema (Find-KeePassconfig), recupere los activadores establecidos para un archivo KeePass.config.xml (Get-KeePassConfigTrigger), agregue un archivo malicioso KeePass activa (Add-KeePassConfigTrigger), y elimina KeePass desencadenantes (Remove-KeePassConfigTrigger).
Esta idea de tomar la contraseña de una base de datos KeyPass no es nueva. Esta utilidad se ajusta al propósito de eliminar la protección alrededor del proceso activo cuando está en un modo "desbloqueado" (por lo general, permanece inactivo antes del tiempo de espera, o en uso activo).
Lea otras preguntas en las etiquetas passwords account-security keepass