V KeePass so zaznali ranljivost, ki omogoča krajo gesel

Ranljivost

Če jih izkoristijo, lahko napadalcem omogočijo nepooblaščen dostop do občutljivih informacij ali na splošno povzročijo težave

Pred kratkim prišle informacije, da je v upravitelju gesel, KeePass, do različice 2.53 (v privzeti namestitvi) omogoča napadalcu, ki ima dostop za pisanje v konfiguracijsko datoteko XML, pridobi gesla v navadnem besedilu z dodajanjem sprožilnega izvoza.

Za tiste, ki ne poznate KeePassa, bi to morali vedeti to je zelo priljubljen odprtokodni upravitelj gesel ki vam omogoča upravljanje gesel z lokalno shranjeno bazo podatkov, namesto tiste, ki gostuje v oblaku, kot sta LastPass ali Bitwarden.

Za zaščito teh lokalnih baz podatkov jih lahko uporabniki šifrirajo z glavnim geslom, tako da zlonamerna programska oprema ali kibernetski kriminalec ne more preprosto ukrasti baze podatkov in samodejno dostopati do tam shranjenih gesel.

O ranljivosti CVE-2023-24055

Ranljivost, opredeljena s CVE-2023-24055, omogoča osebi s pisalnim dostopom do ciljnega sistema spremenite konfiguracijsko datoteko KeePass XML in vstavite zlonamerno programsko opremo sprožilec, ki bi izvozil bazo podatkov, vključno z vsemi uporabniškimi imeni in gesli v navadnem besedilu.

Stališče prodajalca je, da zbirka podatkov o geslih ni zasnovana tako, da bi bila varna pred napadalcem, ki ima to raven dostopa do lokalnega računalnika.

Naslednjič, ko cilj zažene KeePass in vnesite glavno geslo za odpiranje in dešifriranje baze podatkov, sprožilo se bo izvozno pravilo in vsebina podatkovne baze bo shranjena v datoteko, ki jo lahko napadalci posredujejo sistemu pod njihovim nadzorom.

Vendar se ta izvozni postopek začne v ozadju ne da bi bil uporabnik obveščen ali KeePass zahteval vnos glavnega gesla kot potrditev pred izvozom, kar napadalcu omogoči tihi dostop do vseh shranjenih gesel.

Medtem ko Ekipi CERT iz Nizozemske in Belgije sta izdali tudi varnostna opozorila Kar zadeva CVE-2023-24055, je razvojna ekipa KeePass trdi, da tega ne bi smeli označiti kot ranljivost ker lahko napadalci z dostopom za pisanje do ciljne naprave pridobijo informacije v bazi podatkov KeePass tudi na druge načine.

Belgijska ekipa CERT predlaga izvedbo omilitvenega ukrepa prek utrjene konfiguracijske funkcije, »ker popravek ne bo na voljo. Ta funkcija je v prvi vrsti namenjena omrežnim skrbnikom, ki želijo uporabnikom vsiliti določene nastavitve za namestitev KeePass, lahko pa jo uporabljajo tudi končni uporabniki, da utrdijo svojo konfiguracijo KeePass. Vendar je to utrjevanje smiselno le, če končni uporabnik ne more spremeniti te datoteke.

In KeePass je nakazal, da ne bo izdal varnostnih posodobitev odpraviti ranljivost. Stališče razvijalca je, da ko ima zlonamerni napadalec dostop do sistema žrtve, ni razumnega načina za preprečitev kraje shranjenih podatkov.

Vendar pa KeePass ponuja skrbnike sistemov možnost preprečevanja zlorab z uporabo določenih nastavitev:

  1. Uporaba konfiguracije se izvede prek tako imenovane vsiljene konfiguracijske datoteke
  2. Nastavitev parametra "ExportNoKey" na "false" zagotavlja, da je za izvoz shranjenih podatkov potrebno glavno geslo.
  3. To zlonamerni osebi prepreči skrivaj izvoz občutljivih podatkov.

Nastavitve v vsiljeni konfiguracijski datoteki KeePass.config.enforced.xml imajo prednost pred nastavitvami v globalnih in lokalnih konfiguracijskih datotekah. Različne možnosti za utrjevanje vaše konfiguracije KeePass so dokumentirane v repozitoriju Keepass-Enhanced-Security-Configuration GitHub, navedenem v referenčnem razdelku. Možno je na primer popolnoma onemogočiti funkcijo aktivacije (Xpath Settings/Application/System Activation).

Organizacije lahko razmislijo tudi o prehodu na drugega upravitelja gesel, ki podpira trezorje gesel KeePass.

Končno sČe vas zanima več o tem, podrobnosti lahko preverite v naslednja povezava.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

      dobro je dejal

    in enaka ranljivost bi bila za keepassxc?