त्यांना KeePass मध्ये एक असुरक्षितता आढळली जी पासवर्ड चोरीला परवानगी देते

भेद्यता

शोषण केल्यास, या त्रुटी हल्लेखोरांना संवेदनशील माहितीवर अनधिकृत प्रवेश मिळवू शकतात किंवा सामान्यत: समस्या निर्माण करू शकतात

अलीकडेच माहिती मिळाली की पासवर्ड मॅनेजरमध्ये, KeePass, आवृत्ती 2.53 पर्यंत (डिफॉल्ट इंस्टॉलेशनमध्ये) आक्रमणकर्त्याला परवानगी देते, ज्याला XML कॉन्फिगरेशन फाइलमध्ये लेखन प्रवेश आहे, ट्रिगर निर्यात जोडून साध्या मजकुरात पासवर्ड मिळवा.

ज्यांना KeePass बद्दल माहिती नाही त्यांच्यासाठी तुम्हाला हे माहित असले पाहिजे हा एक अतिशय लोकप्रिय ओपन सोर्स पासवर्ड मॅनेजर आहे जे तुम्हाला क्लाउडमध्ये होस्ट केलेल्या, जसे की LastPass किंवा Bitwarden ऐवजी, स्थानिकरित्या संग्रहित डेटाबेस वापरून पासवर्ड व्यवस्थापित करण्यास अनुमती देते.

या स्थानिक डेटाबेसचे संरक्षण करण्यासाठी, वापरकर्ते त्यांना मास्टर पासवर्डसह कूटबद्ध करू शकतात जेणेकरून मालवेअर किंवा सायबर गुन्हेगार केवळ डेटाबेस चोरू शकत नाहीत आणि तेथे संचयित केलेल्या पासवर्डमध्ये स्वयंचलितपणे प्रवेश करू शकत नाहीत.

असुरक्षा सीव्हीई-2023-24055 बद्दल

CVE-2023-24055 द्वारे ओळखलेली असुरक्षा, एखाद्या व्यक्तीस परवानगी देते लक्ष्याच्या प्रणालीवर लेखन प्रवेशासह KeePass XML कॉन्फिगरेशन फाइल सुधारित करा आणि मालवेअर इंजेक्ट करा ट्रिगर जे डेटाबेस एक्सपोर्ट करेल, सर्व वापरकर्तानावे आणि पासवर्डसह साध्या मजकुरात.

विक्रेत्याची स्थिती अशी आहे की पासवर्ड डेटाबेस एखाद्या आक्रमणकर्त्याविरूद्ध सुरक्षित करण्यासाठी डिझाइन केलेला नाही ज्याला स्थानिक पीसीमध्ये या स्तरावर प्रवेश आहे.

पुढच्या वेळी लक्ष्य KeePass सुरू होईल आणि डेटाबेस उघडण्यासाठी आणि डिक्रिप्ट करण्यासाठी मास्टर पासवर्ड प्रविष्ट करा, निर्यात नियम सुरू केला जाईल आणि डेटाबेसमधील सामग्री एका फाईलमध्ये जतन केली जाईल जी आक्रमणकर्ते त्यांच्या नियंत्रणाखाली असलेल्या सिस्टममध्ये लीक करू शकतात.

मात्र, ही निर्यात प्रक्रिया पार्श्वभूमीवर सुरू होते वापरकर्त्याला माहिती न देता किंवा KeePass ने मास्टर पासवर्ड एंटर करण्यासाठी विचारल्याशिवाय निर्यात करण्यापूर्वी पुष्टीकरण म्हणून, आक्रमणकर्त्याला सर्व संचयित संकेतशब्दांमध्ये शांतपणे प्रवेश करण्याची परवानगी देते.

करताना नेदरलँड आणि बेल्जियममधील CERT संघांनीही सुरक्षा सल्ला जारी केला CVE-2023-24055 च्या संदर्भात, विकास संघ KeePass असा युक्तिवाद करतो की हे असुरक्षितता म्हणून वर्गीकृत केले जाऊ नये लक्ष्याच्या डिव्हाइसवर लेखन प्रवेश असलेले आक्रमणकर्ते इतर माध्यमांद्वारे देखील KeePass डेटाबेसमधील माहिती मिळवू शकतात.

बेल्जियम सीईआरटी टीम कठोर कॉन्फिगरेशन वैशिष्ट्याद्वारे कमी करण्याच्या उपायाची अंमलबजावणी करण्यास सुचवते, “कोणताही पॅच उपलब्ध होणार नाही. हे वैशिष्ट्य प्रामुख्याने नेटवर्क प्रशासकांसाठी आहे जे KeePass इंस्टॉलेशनसाठी वापरकर्त्यांवर काही सेटिंग्ज सक्ती करू इच्छितात, परंतु ते अंतिम वापरकर्त्यांद्वारे त्यांचे KeePass कॉन्फिगरेशन कठोर करण्यासाठी देखील वापरले जाऊ शकते. तथापि, अंतिम वापरकर्ता ही फाईल सुधारू शकत नसेल तरच हे कठोर करणे अर्थपूर्ण आहे.

आणि ते आहे KeePass ने सूचित केले आहे की ते सुरक्षा अद्यतने जारी करणार नाही असुरक्षा दुरुस्त करण्यासाठी. विकसकाची स्थिती अशी आहे की एकदा दुर्भावनापूर्ण आक्रमणकर्त्याने पीडिताच्या सिस्टममध्ये प्रवेश केला की, संग्रहित डेटाची चोरी रोखण्याचा कोणताही वाजवी मार्ग नाही.

तथापि, KeePass प्रशासकांना ऑफर करते प्रणाल्यांचा विशिष्ट सेटिंग्ज लागू करून गैरवर्तन रोखण्याची क्षमता:

  1. कॉन्फिगरेशनचा अनुप्रयोग तथाकथित सक्ती केलेल्या कॉन्फिगरेशन फाइलद्वारे केला जातो
  2. "ExportNoKey" पॅरामीटर "false" वर सेट केल्याने सेव्ह केलेला डेटा एक्सपोर्ट करण्यासाठी मास्टर पासवर्ड आवश्यक आहे याची खात्री होते.
  3. हे दुर्भावनापूर्ण व्यक्तीला गुप्तपणे संवेदनशील डेटा निर्यात करण्यापासून प्रतिबंधित करते.

KeePass.config.enforced.xml सक्ती केलेल्या कॉन्फिगरेशन फाइलमधील सेटिंग्ज जागतिक आणि स्थानिक कॉन्फिगरेशन फाइल्समधील सेटिंग्जपेक्षा प्राधान्य घेतात. तुमचे KeePass कॉन्फिगरेशन कठोर करण्यासाठी विविध पर्याय संदर्भ विभागात सूचीबद्ध केलेल्या Keepass-Enhanced-Security-Configuration GitHub रेपॉजिटरीमध्ये दस्तऐवजीकरण केलेले आहेत. उदाहरणार्थ, सक्रियकरण कार्य पूर्णपणे अक्षम करणे शक्य आहे (Xpath सेटिंग्ज/अनुप्रयोग/सिस्टम सक्रियकरण).

संस्था KeePass पासवर्ड व्हॉल्टला सपोर्ट करणाऱ्या दुसर्‍या पासवर्ड मॅनेजरवर स्विच करण्याचा विचार करू शकतात.

शेवटी एसआपल्याला याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण मधील तपशील तपासू शकता खालील दुवा.


एक टिप्पणी, आपले सोडून द्या

आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटा जबाबदार: मिगुएल Áन्गल गॅटन
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.

  1.   चांगले म्हणाले

    आणि तीच भेद्यता Keepassxc साठी असेल?