Otkrili su ranjivost u KeePassu koja omogućuje krađu lozinki

Ranjivost

Ako se iskoriste, ovi nedostaci mogu omogućiti napadačima neovlašteni pristup osjetljivim informacijama ili općenito uzrokovati probleme

Nedavno se saznalo da je u upravitelju lozinki KeePass, do verzije 2.53 (u zadanoj instalaciji) dopušta napadaču, koji ima pristup za pisanje u XML konfiguracijsku datoteku, dobiva lozinke u običnom tekstu dodavanjem izvoza okidača.

Za one koji ne znaju za KeePass, trebali biste to znati ovo je vrlo popularan upravitelj lozinki otvorenog koda koji vam omogućuje upravljanje lozinkama pomoću lokalno pohranjene baze podataka, umjesto one koja se nalazi u oblaku, kao što su LastPass ili Bitwarden.

Kako bi zaštitili te lokalne baze podataka, korisnici ih mogu šifrirati glavnom lozinkom tako da zlonamjerni softver ili kibernetički kriminalci ne mogu jednostavno ukrasti bazu podataka i automatski pristupiti lozinkama koje su tamo pohranjene.

O ranjivosti CVE-2023-24055

Ranjivost koju je identificirao CVE-2023-24055, dopušta osobi s pristupom za pisanje u ciljni sustav izmijenite konfiguracijsku datoteku KeePass XML i ubacite zlonamjerni softver okidač koji bi eksportirao bazu podataka, uključujući sva korisnička imena i lozinke u običnom tekstu.

Stav dobavljača je da baza podataka zaporki nije dizajnirana da bude sigurna protiv napadača koji ima ovu razinu pristupa lokalnom računalu.

Sljedeći put kada meta pokrene KeePass i unesite glavnu lozinku za otvaranje i dešifriranje baze podataka, aktivirat će se pravilo izvoza a sadržaj baze podataka bit će spremljen u datoteku koju napadači mogu prenijeti u sustav pod svojom kontrolom.

Međutim, ovaj proces izvoza počinje u pozadini bez da korisnik bude obaviješten ili KeePass ne traži unos glavne lozinke kao potvrdu prije izvoza, dopuštajući napadaču tihi pristup svim pohranjenim lozinkama.

Dok je Timovi CERT-a iz Nizozemske i Belgije također su izdali sigurnosna upozorenja Što se tiče CVE-2023-24055, razvojni tim od KeePass tvrdi da se ovo ne bi trebalo klasificirati kao ranjivost budući da napadači s pristupom pisanja na ciljni uređaj također mogu dobiti informacije u bazi podataka KeePass drugim sredstvima.

Tim belgijskog CERT-a predlaže implementaciju mjera ublažavanja putem ojačane značajke konfiguracije, "budući da zakrpa neće biti dostupna. Ova značajka prvenstveno je namijenjena mrežnim administratorima koji žele nametnuti određene postavke korisnicima za KeePass instalaciju, ali ju mogu koristiti i krajnji korisnici da ojačaju svoju KeePass konfiguraciju. Međutim, ovo ojačavanje ima smisla samo ako krajnji korisnik ne može modificirati ovu datoteku.

I to je KeePass je naznačio da neće izdavati sigurnosna ažuriranja popraviti ranjivost. Stav programera je da kada zlonamjerni napadač ima pristup žrtvinom sustavu, ne postoji razuman način da se spriječi krađa pohranjenih podataka.

Međutim, KeePass nudi administratore sustava mogućnost sprječavanja zlouporabe primjenom određenih postavki:

  1. Primjena konfiguracije provodi se putem takozvane prisilne konfiguracijske datoteke
  2. Postavljanje parametra "ExportNoKey" na "false" osigurava da je potrebna glavna lozinka za izvoz spremljenih podataka.
  3. To sprječava zlonamjernu osobu da tajno izvozi osjetljive podatke.

Postavke u datoteci prisilne konfiguracije KeePass.config.enforced.xml imaju prednost nad postavkama u globalnim i lokalnim konfiguracijskim datotekama. Različite opcije za ojačavanje vaše KeePass konfiguracije dokumentirane su u Keepass-Enhanced-Security-Configuration GitHub repozitoriju navedenom u referentnom odjeljku. Na primjer, moguće je potpuno onemogućiti funkciju aktivacije (Xpath Settings/Application/System Activation).

Organizacije također mogu razmotriti prebacivanje na drugi upravitelj zaporki koji podržava KeePass trezore zaporki.

Napokon sAko vas zanima više o tome, detalje možete provjeriti u sljedeći link.


Komentar, ostavi svoj

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   dobro dijo

    a ista bi ranjivost bila za keepassxc?