Nemrég olyan információ vált ismertté, hogy a jelszókezelőben KeePass, 2.53-as verzióig (alapértelmezett telepítésben) megengedi a támadót, amely írási hozzáféréssel rendelkezik az XML konfigurációs fájlhoz, egyszerű szövegben kapja meg a jelszavakat egy trigger export hozzáadásával.
Azok számára, akik nincsenek tisztában a KeePass-szal, ezt tudniuk kell ez egy nagyon népszerű nyílt forráskódú jelszókezelő amely lehetővé teszi a jelszavak kezelését egy helyben tárolt adatbázis használatával a felhőben tárolt adatbázisok, például a LastPass vagy a Bitwarden helyett.
A helyi adatbázisok védelme érdekében a felhasználók fő jelszóval titkosíthatják azokat, így egy rosszindulatú program vagy kiberbűnöző nem tudja egyszerűen ellopni az adatbázist, és automatikusan hozzáférni az ott tárolt jelszavakhoz.
A CVE-2023-24055 biztonsági résről
A CVE-2023-24055 által azonosított sebezhetőség, lehetővé teszi egy személynek írási hozzáféréssel a cél rendszeréhez módosítsa a KeePass XML konfigurációs fájlt, és szúrjon be egy rosszindulatú programot trigger, amely exportálja az adatbázist, beleértve az összes felhasználónevet és jelszót egyszerű szövegben.
A szállító álláspontja az, hogy a jelszóadatbázist nem úgy tervezték, hogy biztonságos legyen egy olyan támadóval szemben, aki ilyen szintű hozzáféréssel rendelkezik a helyi számítógéphez.
A következő alkalommal, amikor a cél elindítja a KeePass-t és adja meg a fő jelszót az adatbázis megnyitásához és visszafejtéséhez, az exportszabály aktiválódik és az adatbázis tartalma egy fájlba kerül, amelyet a támadók kiszivárogtathatnak az irányításuk alatt álló rendszerbe.
Ez az exportálási folyamat azonban a háttérben kezdődik anélkül, hogy a felhasználót tájékoztatták volna, vagy a KeePass nem kérné a fő jelszó megadását megerősítésként az exportálás előtt, lehetővé téve a támadó számára, hogy csendesen hozzáférjen az összes tárolt jelszóhoz.
Míg a A holland és belga CERT-csapatok szintén biztonsági figyelmeztetéseket adtak ki A CVE-2023-24055 fejlesztői csapata A KeePass azzal érvel, hogy ezt nem szabad sebezhetőségnek minősíteni mivel a célpont eszközéhez írási hozzáféréssel rendelkező támadók más módon is szerezhetnek információkat a KeePass adatbázisban.
A belga CERT csapata enyhítő intézkedés bevezetését javasolja a keményített konfigurációs szolgáltatáson keresztül, „mivel nem lesz elérhető javítás. Ez a funkció elsősorban azoknak a hálózati rendszergazdáknak szól, akik bizonyos beállításokat szeretnének a felhasználókra kényszeríteni a KeePass telepítéséhez, de a végfelhasználók is használhatják KeePass konfigurációjuk keményítésére. Ennek a keményítésnek azonban csak akkor van értelme, ha a végfelhasználó nem tudja módosítani ezt a fájlt.
És ez az A KeePass jelezte, hogy nem ad ki biztonsági frissítéseket a sebezhetőség kijavításához. A fejlesztő álláspontja az, hogy miután egy rosszindulatú támadó hozzáfér az áldozat rendszeréhez, nincs ésszerű módja annak, hogy megakadályozzák a tárolt adatok ellopását.
Azonban, A KeePass rendszergazdákat kínál rendszerek a visszaélések megakadályozása bizonyos beállítások alkalmazásával:
- Egy konfiguráció alkalmazása az úgynevezett kényszerített konfigurációs fájlon keresztül történik
- Az "ExportNoKey" paraméter "false"-ra állítása biztosítja, hogy a mentett adatok exportálásához mesterjelszóra van szükség.
- Ez megakadályozza, hogy egy rosszindulatú személy titokban érzékeny adatokat exportáljon.
A KeePass.config.enforced.xml kényszerkonfigurációs fájl beállításai elsőbbséget élveznek a globális és helyi konfigurációs fájlok beállításaival szemben. A KeePass-konfiguráció szigorításának különféle lehetőségei a referencia szakaszban felsorolt Keepass-Enhanced-Security-Configuration GitHub-lerakatban vannak dokumentálva. Lehetőség van például az aktiválási funkció teljes letiltására (Xpath beállítások/Alkalmazás/Rendszeraktiválás).
A szervezetek fontolóra vehetik egy másik jelszókezelőre váltást is, amely támogatja a KeePass jelszótárolókat.
Végül sHa érdekli, hogy többet tudjon róla, ellenőrizheti a részleteket a következő link.
és ugyanez a sérülékenység lenne a keepassxc esetében is?