Те откриха уязвимост в KeePass, която позволява кражба на парола

Наскоро стана известна информация, че в мениджъра на пароли, KeePass, до версия 2.53 (при инсталация по подразбиране) позволява на нападател, който има достъп за запис до XML конфигурационния файл, вземете паролите в обикновен текст, като добавите експортиране на тригер.

За тези, които не знаят за KeePass, трябва да знаете това това е много популярен мениджър на пароли с отворен код което ви позволява да управлявате пароли, като използвате локално съхранена база данни, вместо такава, хоствана в облака, като LastPass или Bitwarden.

За да защитят тези локални бази данни, потребителите могат да ги криптират с главна парола, така че злонамерен софтуер или киберпрестъпник да не може просто да открадне базата данни и автоматично да получи достъп до съхраняваните там пароли.

Относно уязвимостта CVE-2023-24055

Уязвимостта, идентифицирана от CVE-2023-24055, позволява на човек с достъп за запис до целевата система модифицирайте XML конфигурационния файл на KeePass и инжектирайте зловреден софтуер тригер, който ще експортира базата данни, включително всички потребителски имена и пароли в обикновен текст.

Позицията на доставчика е, че базата данни с пароли не е проектирана да бъде защитена срещу нападател, който има това ниво на достъп до локалния компютър.

Следващият път, когато целта стартира KeePass и въведете главната парола, за да отворите и дешифрирате базата данни, правилото за експортиране ще бъде задействано и съдържанието на базата данни ще бъде запазено във файл, който нападателите могат да изтекат към система под техен контрол.

Този процес на експортиране обаче започва във фонов режим без потребителят да бъде информиран или KeePass да поиска въвеждането на главната парола като потвърждение преди експортиране, което позволява на нападателя да получи безшумен достъп до всички съхранени пароли.

Докато Екипи на CERT от Холандия и Белгия също издадоха съвети за сигурност По отношение на CVE-2023-24055, екипът за разработка на KeePass твърди, че това не трябва да се класифицира като уязвимост тъй като нападателите с достъп за запис до устройството на целта могат също да получат информация в базата данни KeePass чрез други средства.

Белгийският екип на CERT предлага прилагане на мярка за смекчаване чрез функцията за заздравена конфигурация, „тъй като няма да има налична корекция. Тази функция е предназначена основно за мрежови администратори, които искат да наложат определени настройки на потребителите за инсталация на KeePass, но може да се използва и от крайни потребители, за да втвърдят конфигурацията на KeePass. Това втвърдяване обаче има смисъл само ако крайният потребител не може да модифицира този файл.

И KeePass посочи, че няма да пуска актуализации за сигурност за коригиране на уязвимостта. Позицията на разработчика е, че след като злонамерен нападател има достъп до системата на жертвата, няма разумен начин да се предотврати кражбата на съхранените данни.

Въпреки това, KeePass предлага администратори на системи възможност за предотвратяване на злоупотреба чрез прилагане на определени настройки:

1. Прилагането на конфигурация се осъществява чрез така наречения принудителен конфигурационен файл
2. Задаването на параметъра "ExportNoKey" на "false" гарантира, че е необходима главна парола за експортиране на запазени данни.
3. Това не позволява на злонамерено лице тайно да експортира чувствителни данни.

Настройките във файла за принудителна конфигурация KeePass.config.enforced.xml имат предимство пред настройките в глобалните и локалните конфигурационни файлове. Различни опции за укрепване на вашата конфигурация на KeePass са документирани в хранилището на Keepass-Enhanced-Security-Configuration GitHub, посочено в раздела за справка. Например, възможно е напълно да деактивирате функцията за активиране (Xpath Settings/Application/System Activation).

Организациите могат също така да обмислят преминаване към друг мениджър на пароли, който поддържа хранилища за пароли KeePass.

Накрая sАко се интересувате да научите повече за него, можете да проверите подробностите в следваща връзка.