Išnaudojami šie trūkumai gali leisti užpuolikams gauti neteisėtą prieigą prie slaptos informacijos arba apskritai sukelti problemų.
Neseniai buvo paskelbta informacija, kad slaptažodžių tvarkyklėje „KeePass“, iki 2.53 versijos (numatytajame diegime) leidžia užpuolikui, kuri turi rašymo prieigą prie XML konfigūracijos failo, gaukite slaptažodžius paprastu tekstu pridėdami aktyviklio eksportavimą.
Tiems, kurie nežino apie KeePass, turėtumėte tai žinoti Tai labai populiari atvirojo kodo slaptažodžių tvarkyklė leidžia valdyti slaptažodžius naudojant vietoje saugomą duomenų bazę, o ne debesyje esančią duomenų bazę, pvz., LastPass arba Bitwarden.
Norėdami apsaugoti šias vietines duomenų bazes, vartotojai gali jas užšifruoti pagrindiniu slaptažodžiu, kad kenkėjiška programa ar kibernetinis nusikaltėlis negalėtų tiesiog pavogti duomenų bazės ir automatiškai pasiekti joje saugomus slaptažodžius.
Apie pažeidžiamumą CVE-2023-24055
Pažeidžiamumas, nustatytas CVE-2023-24055, leidžia žmogui su rašymo prieiga prie tikslo sistemos modifikuoti KeePass XML konfigūracijos failą ir įterpti kenkėjiškų programų trigerį, kuris eksportuotų duomenų bazę, įskaitant visus naudotojų vardus ir slaptažodžius paprastu tekstu.
Pardavėjo pozicija yra ta, kad slaptažodžių duomenų bazė nėra sukurta taip, kad būtų apsaugota nuo užpuoliko, turinčio tokio lygio prieigą prie vietinio kompiuterio.
Kitą kartą, kai taikinys paleidžia „KeePass“. ir įveskite pagrindinį slaptažodį, kad atidarytumėte ir iššifruotumėte duomenų bazę, bus suaktyvinta eksporto taisyklė ir duomenų bazės turinys bus išsaugotas faile, kurį užpuolikai gali nutekėti į savo valdomą sistemą.
Tačiau šis eksportavimo procesas prasideda fone Vartotojui neinformuojant arba „KeePass“ neprašant įvesti pagrindinio slaptažodžio kaip patvirtinimą prieš eksportavimą, leidžiantį užpuolikui tyliai pasiekti visus saugomus slaptažodžius.
Nors CERT komandos iš Nyderlandų ir Belgijos taip pat paskelbė saugumo įspėjimus Dėl CVE-2023-24055 kūrimo komanda KeePass teigia, kad tai neturėtų būti klasifikuojama kaip pažeidžiamumas nes užpuolikai, turintys rašymo prieigą prie taikinio įrenginio, taip pat gali gauti informaciją KeePass duomenų bazėje kitais būdais.
Belgijos CERT komanda siūlo įgyvendinti sušvelninimo priemonę naudojant sustiprintos konfigūracijos funkciją, „nes nebus pasiekiamas joks pleistras. Ši funkcija visų pirma skirta tinklo administratoriams, norintiems vartotojams nustatyti tam tikrus „KeePass“ diegimo nustatymus, tačiau ją taip pat gali naudoti galutiniai vartotojai, norėdami sustiprinti savo „KeePass“ nustatymus. Tačiau šis grūdinimas prasmingas tik tuo atveju, jei galutinis vartotojas negali keisti šio failo.
Ir tai „KeePass“ nurodė, kad neišleis saugos naujinimų ištaisyti pažeidžiamumą. Kūrėjo pozicija yra tokia, kad kai piktybinis užpuolikas turi prieigą prie aukos sistemos, nėra jokio pagrįsto būdo užkirsti kelią saugomų duomenų vagystei.
Tačiau „KeePass“ siūlo administratoriams sistemų galimybė išvengti piktnaudžiavimo taikant tam tikrus nustatymus:
- Konfigūracijos taikymas atliekamas per vadinamąjį priverstinės konfigūracijos failą
- „ExportNoKey“ parametro nustatymas į „false“ užtikrina, kad norint eksportuoti išsaugotus duomenis reikalingas pagrindinis slaptažodis.
- Tai neleidžia piktavaliui slapta eksportuoti neskelbtinų duomenų.
Konfigūracijos priverstinės konfigūracijos faile KeePass.config.enforced.xml turi viršenybę prieš konfigūracijas visuotiniuose ir vietiniuose konfigūracijos failuose. Keletas „KeePass“ konfigūracijos stiprinimo parinkčių yra dokumentuotos „Keepass-Enhanced-Security-Configuration GitHub“ saugykloje, pateiktoje nuorodų skyriuje. Pavyzdžiui, galima visiškai išjungti aktyvinimo funkciją (XPath Settings/Application/Activation System).
Organizacijos taip pat gali apsvarstyti galimybę pereiti prie kitos slaptažodžių tvarkyklės, palaikančios KeePass slaptažodžių saugyklas.
Pagaliau sJei jus domina daugiau apie tai sužinoti, išsamią informaciją galite patikrinti sekanti nuoroda.
Ir ar tas pats pažeidžiamumas būtų ir keepassxc?