Ako se iskoriste, ovi nedostaci mogu omogućiti napadačima neovlašteni pristup osjetljivim informacijama ili općenito uzrokovati probleme
Nedavno se saznalo da je u upravitelju lozinki KeePass, do verzije 2.53 (u zadanoj instalaciji) dopušta napadaču, koji ima pristup za pisanje u XML konfiguracijsku datoteku, dobiva lozinke u običnom tekstu dodavanjem izvoza okidača.
Za one koji ne znaju za KeePass, trebali biste to znati ovo je vrlo popularan upravitelj lozinki otvorenog koda koji vam omogućuje upravljanje lozinkama pomoću lokalno pohranjene baze podataka, umjesto one koja se nalazi u oblaku, kao što su LastPass ili Bitwarden.
Kako bi zaštitili te lokalne baze podataka, korisnici ih mogu šifrirati glavnom lozinkom tako da zlonamjerni softver ili kibernetički kriminalci ne mogu jednostavno ukrasti bazu podataka i automatski pristupiti lozinkama koje su tamo pohranjene.
O ranjivosti CVE-2023-24055
Ranjivost koju je identificirao CVE-2023-24055, dopušta osobi s pristupom za pisanje u ciljni sustav izmijenite konfiguracijsku datoteku KeePass XML i ubacite zlonamjerni softver okidač koji bi eksportirao bazu podataka, uključujući sva korisnička imena i lozinke u običnom tekstu.
Stav dobavljača je da baza podataka zaporki nije dizajnirana da bude sigurna protiv napadača koji ima ovu razinu pristupa lokalnom računalu.
Sljedeći put kada meta pokrene KeePass i unesite glavnu lozinku za otvaranje i dešifriranje baze podataka, aktivirat će se pravilo izvoza a sadržaj baze podataka bit će spremljen u datoteku koju napadači mogu prenijeti u sustav pod svojom kontrolom.
Međutim, ovaj proces izvoza počinje u pozadini bez da korisnik bude obaviješten ili KeePass ne traži unos glavne lozinke kao potvrdu prije izvoza, dopuštajući napadaču tihi pristup svim pohranjenim lozinkama.
Dok je Timovi CERT-a iz Nizozemske i Belgije također su izdali sigurnosna upozorenja Što se tiče CVE-2023-24055, razvojni tim od KeePass tvrdi da se ovo ne bi trebalo klasificirati kao ranjivost budući da napadači s pristupom pisanja na ciljni uređaj također mogu dobiti informacije u bazi podataka KeePass drugim sredstvima.
Tim belgijskog CERT-a predlaže implementaciju mjera ublažavanja putem ojačane značajke konfiguracije, "budući da zakrpa neće biti dostupna. Ova značajka prvenstveno je namijenjena mrežnim administratorima koji žele nametnuti određene postavke korisnicima za KeePass instalaciju, ali ju mogu koristiti i krajnji korisnici da ojačaju svoju KeePass konfiguraciju. Međutim, ovo ojačavanje ima smisla samo ako krajnji korisnik ne može modificirati ovu datoteku.
I to je KeePass je naznačio da neće izdavati sigurnosna ažuriranja popraviti ranjivost. Stav programera je da kada zlonamjerni napadač ima pristup žrtvinom sustavu, ne postoji razuman način da se spriječi krađa pohranjenih podataka.
Međutim, KeePass nudi administratore sustava mogućnost sprječavanja zlouporabe primjenom određenih postavki:
- Primjena konfiguracije provodi se putem takozvane prisilne konfiguracijske datoteke
- Postavljanje parametra "ExportNoKey" na "false" osigurava da je potrebna glavna lozinka za izvoz spremljenih podataka.
- To sprječava zlonamjernu osobu da tajno izvozi osjetljive podatke.
Postavke u datoteci prisilne konfiguracije KeePass.config.enforced.xml imaju prednost nad postavkama u globalnim i lokalnim konfiguracijskim datotekama. Različite opcije za ojačavanje vaše KeePass konfiguracije dokumentirane su u Keepass-Enhanced-Security-Configuration GitHub repozitoriju navedenom u referentnom odjeljku. Na primjer, moguće je potpuno onemogućiti funkciju aktivacije (Xpath Settings/Application/System Activation).
Organizacije također mogu razmotriti prebacivanje na drugi upravitelj zaporki koji podržava KeePass trezore zaporki.
Napokon sAko vas zanima više o tome, detalje možete provjeriti u sljedeći link.
Komentar, ostavi svoj
a ista bi ranjivost bila za keepassxc?