Обнаружена уязвимость в KeePass, позволяющая украсть пароль

На днях стала известна информация, что в менеджере паролей, КиПасс, до версии 2.53 (при установке по умолчанию) позволяет злоумышленнику, у которого есть доступ на запись к файлу конфигурации XML, получить пароли в виде обычного текста, добавив экспорт триггера.

Для тех, кто не знает о KeePass, вы должны знать, что это очень популярный менеджер паролей с открытым исходным кодом который позволяет вам управлять паролями, используя локально хранимую базу данных, а не базу данных, размещенную в облаке, например LastPass или Bitwarden.

Чтобы защитить эти локальные базы данных, пользователи могут зашифровать их мастер-паролем, чтобы вредоносное ПО или киберпреступник не могли просто украсть базу данных и автоматически получить доступ к хранящимся там паролям.

Об уязвимости CVE-2023-24055

Уязвимость, выявленная CVE-2023-24055, позволяет человеку с доступом на запись к целевой системе изменить XML-файл конфигурации KeePass и внедрить вредоносное ПО триггер, который будет экспортировать базу данных, включая все имена пользователей и пароли в виде простого текста.

Позиция поставщика заключается в том, что база данных паролей не предназначена для защиты от злоумышленника, имеющего такой уровень доступа к локальному ПК.

В следующий раз, когда цель запустит KeePass и введите мастер-пароль для открытия и расшифровки базы данных, правило экспорта будет активировано и содержимое базы данных будет сохранено в файл, который злоумышленники могут передать в систему, находящуюся под их контролем.

Однако этот процесс экспорта запускается в фоновом режиме. без уведомления пользователя или запроса KeePass на ввод мастер-пароля в качестве подтверждения перед экспортом, позволяя злоумышленнику получить доступ ко всем сохраненным паролям.

в то время как Команды CERT из Нидерландов и Бельгии также выпустили рекомендации по безопасности. Что касается CVE-2023-24055, команда разработчиков KeePass утверждает, что это не следует классифицировать как уязвимость. поскольку злоумышленники, имеющие доступ для записи к целевому устройству, также могут получить информацию в базе данных KeePass другими способами.

Команда CERT в Бельгии предлагает реализовать меры по смягчению последствий с помощью функции усиленной конфигурации, «поскольку патч не будет доступен. Эта функция в первую очередь предназначена для сетевых администраторов, которые хотят навязать пользователям определенные настройки для установки KeePass, но ее также могут использовать конечные пользователи для усиления своей конфигурации KeePass. Однако такое усиление имеет смысл только в том случае, если конечный пользователь не может изменить этот файл.

И это KeePass сообщил, что не будет выпускать обновления безопасности для исправления уязвимости. Позиция разработчика заключается в том, что когда злоумышленник получает доступ к системе жертвы, нет разумного способа предотвратить кражу хранимых данных.

Тем не менее, KeePass предлагает администраторам систем возможность предотвращения злоупотреблений путем применения определенных настроек:

1. Применение конфигурации осуществляется через так называемый файл принудительной конфигурации.
2. Установка для параметра «ExportNoKey» значения «false» гарантирует, что для экспорта сохраненных данных требуется мастер-пароль.
3. Это предотвращает тайный экспорт конфиденциальных данных злоумышленником.

Настройки в файле принудительной конфигурации KeePass.config.enforced.xml имеют приоритет над настройками в глобальных и локальных файлах конфигурации. Различные варианты усиления безопасности вашей конфигурации KeePass задокументированы в репозитории Keepass-Enhanced-Security-Configuration GitHub, указанном в справочном разделе. Например, можно полностью отключить функцию активации (Настройки Xpath/Приложение/Активация системы).

Организации также могут рассмотреть возможность перехода на другой менеджер паролей, который поддерживает хранилища паролей KeePass.

Наконец сЕсли вам интересно узнать об этом больше, вы можете проверить подробности в по следующей ссылке.