Ak sú tieto chyby zneužité, môžu útočníkom umožniť získať neoprávnený prístup k citlivým informáciám alebo vo všeobecnosti spôsobiť problémy
Nedávno sa objavila informácia, že v správcovi hesiel KeepPass, až do verzie 2.53 (v predvolenej inštalácii) umožňuje útočníkovi, ktorý má prístup k zápisu do konfiguračného súboru XML, získate heslá vo forme obyčajného textu pridaním exportu spúšťača.
Pre tých, ktorí nepoznajú KeePass, mali by ste to vedieť toto je veľmi populárny open source správca hesiel ktorý vám umožňuje spravovať heslá pomocou lokálne uloženej databázy namiesto databázy hostenej v cloude, ako je LastPass alebo Bitwarden.
Na ochranu týchto lokálnych databáz ich môžu používatelia zašifrovať hlavným heslom, aby malvér alebo počítačový zločinec nemohli jednoducho ukradnúť databázu a automaticky získať prístup k heslám, ktoré sú v nej uložené.
O chybe zabezpečenia CVE-2023-24055
Zraniteľnosť identifikovaná CVE-2023-24055, umožňuje človeku s prístupom na zápis do cieľového systému upravte konfiguračný súbor KeePass XML a vložte malvér spúšťač, ktorý by exportoval databázu vrátane všetkých používateľských mien a hesiel vo forme obyčajného textu.
Pozícia predajcu je taká, že databáza hesiel nie je navrhnutá tak, aby bola zabezpečená proti útočníkovi, ktorý má túto úroveň prístupu k lokálnemu PC.
Keď nabudúce cieľ spustí KeePass a zadajte hlavné heslo na otvorenie a dešifrovanie databázy, spustí sa pravidlo exportu a obsah databázy sa uloží do súboru, ktorý môžu útočníci uniknúť do systému pod ich kontrolou.
Tento proces exportu však začína na pozadí bez toho, aby bol používateľ informovaný alebo aby KeePass požadoval zadanie hlavného hesla ako potvrdenie pred exportom, čo umožňuje útočníkovi tichý prístup ku všetkým uloženým heslám.
Kým Bezpečnostné upozornenia vydali aj tímy CERT z Holandska a Belgicka Pokiaľ ide o CVE-2023-24055, vývojový tím z KeePass tvrdí, že by sa to nemalo klasifikovať ako zraniteľnosť keďže útočníci s prístupom na zápis do cieľového zariadenia môžu získať informácie v databáze KeePass aj inými prostriedkami.
Belgický tím CERT navrhuje implementovať zmierňujúce opatrenie prostredníctvom funkcie spevnenej konfigurácie, „keďže nebude k dispozícii žiadna oprava. Táto funkcia je primárne určená pre správcov siete, ktorí chcú používateľom vynútiť určité nastavenia pre inštaláciu KeePass, ale môžu ju použiť aj koncoví používatelia na posilnenie konfigurácie KeePass. Toto tvrdenie má však zmysel iba vtedy, ak koncový používateľ nemôže tento súbor upraviť.
A KeePass naznačil, že nevydá bezpečnostné aktualizácie opraviť zraniteľnosť. Pozícia vývojára je taká, že akonáhle má škodlivý útočník prístup k systému obete, neexistuje žiadny rozumný spôsob, ako zabrániť krádeži uložených údajov.
Avšak, KeePass ponúka administrátorom systémov schopnosť zabrániť zneužitiu použitím určitých nastavení:
- Aplikácia konfigurácie sa vykonáva prostredníctvom takzvaného vynúteného konfiguračného súboru
- Nastavenie parametra „ExportNoKey“ na „false“ zaisťuje, že na export uložených údajov je potrebné hlavné heslo.
- To bráni zákernej osobe v tajnom exporte citlivých údajov.
Nastavenia vo vynútenom konfiguračnom súbore KeePass.config.enforced.xml majú prednosť pred nastaveniami v globálnych a lokálnych konfiguračných súboroch. Rôzne možnosti spevnenia konfigurácie KeePass sú zdokumentované v úložisku GitHub Keepass-Enhanced-Security-Configuration uvedenom v sekcii referencie. Napríklad je možné úplne zakázať funkciu aktivácie (Nastavenia Xpath/Aplikácia/Aktivácia systému).
Organizácie môžu tiež zvážiť prechod na iného správcu hesiel, ktorý podporuje trezory hesiel KeePass.
Nakoniec sAk máte záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti v nasledujúci odkaz.
a rovnaká zraniteľnosť by bola aj pre keepassxc?