У разі використання цих недоліків зловмисники можуть отримати несанкціонований доступ до конфіденційної інформації або загалом спричинити проблеми
Нещодавно стала відомо про те, що в менеджері паролів, KeePass, до версії 2.53 (за умовчанням) дозволяє зловмиснику, який має доступ на запис до файлу конфігурації XML, отримайте паролі у вигляді звичайного тексту, додавши тригер експорту.
Для тих, хто не знає про KeePass, ви повинні це знати це дуже популярний менеджер паролів з відкритим кодом що дозволяє вам керувати паролями за допомогою локально збереженої бази даних замість тієї, що розміщена в хмарі, як-от LastPass або Bitwarden.
Щоб захистити ці локальні бази даних, користувачі можуть зашифрувати їх за допомогою головного пароля, щоб зловмисне програмне забезпечення або кіберзлочинець не зміг просто викрасти базу даних і автоматично отримати доступ до збережених там паролів.
Про вразливість CVE-2023-24055
Уразливість, ідентифікована CVE-2023-24055, дозволяє людині з доступом на запис до цільової системи змінити файл конфігурації KeePass XML і ін’єктувати шкідливе програмне забезпечення тригер, який експортував би базу даних, включаючи всі імена користувачів і паролі у вигляді звичайного тексту.
Позиція постачальника полягає в тому, що база даних паролів не розроблена для захисту від зловмисників, які мають такий рівень доступу до локального ПК.
Наступного разу, коли мета запускає KeePass і введіть головний пароль, щоб відкрити та розшифрувати базу даних, буде запущено правило експорту а вміст бази даних буде збережено у файлі, який зловмисники можуть перенести в систему під своїм контролем.
Однак цей процес експорту починається у фоновому режимі без інформування користувача або запиту KeePass на введення головного пароля як підтвердження перед експортом, дозволяючи зловмиснику отримати безшумний доступ до всіх збережених паролів.
Так добре Групи CERT з Нідерландів і Бельгії також видали рекомендації щодо безпеки Щодо CVE-2023-24055, команда розробників KeePass стверджує, що це не слід класифікувати як вразливість оскільки зловмисники з доступом на запис до цільового пристрою також можуть отримати інформацію в базі даних KeePass іншими способами.
Бельгійська команда CERT пропонує впровадити заходи пом’якшення за допомогою функції посиленої конфігурації, «оскільки виправлення не буде доступним. Ця функція в першу чергу призначена для мережевих адміністраторів, які хочуть примусово налаштувати певні налаштування для користувачів для інсталяції KeePass, але її також можуть використовувати кінцеві користувачі для посилення конфігурації KeePass. Однак це посилення має сенс, лише якщо кінцевий користувач не може змінити цей файл.
І це KeePass зазначив, що не випускатиме оновлень безпеки щоб виправити вразливість. Позиція розробника полягає в тому, що як тільки зловмисник отримує доступ до системи жертви, немає розумного способу запобігти крадіжці збережених даних.
Проте, KeePass пропонує адміністраторам систем можливість запобігання зловживанням шляхом застосування певних налаштувань:
- Застосування конфігурації здійснюється через так званий файл примусової конфігурації
- Встановлення параметра "ExportNoKey" на "false" гарантує, що для експорту збережених даних потрібен головний пароль.
- Це запобігає зловмисникам від таємного експорту конфіденційних даних.
Налаштування у файлі примусової конфігурації KeePass.config.enforced.xml мають пріоритет над налаштуваннями у глобальних і локальних файлах конфігурації. Різні варіанти посилення конфігурації KeePass задокументовано в репозиторії Keepass-Enhanced-Security-Configuration GitHub, зазначеному в розділі довідок. Наприклад, можна повністю вимкнути функцію активації (Xpath Settings/Application/System Activation).
Організації також можуть розглянути можливість переходу на інший менеджер паролів, який підтримує сховища паролів KeePass.
Нарешті сЯкщо вам цікаво дізнатися про це більше, ви можете перевірити деталі в наступне посилання.
і така сама вразливість буде для keepassxc?