KeePass является менеджером паролей с открытым исходным кодом, который позволяет хранить и управлять паролями локально, управляя вашей базой данных, а не в облачном хранилище, как это делают другие менеджеры паролей, такие как LastPass, 1Password или Bitwarden.
Для защиты локальной базы данных, ее можно зашифровать мастер-паролем, чтобы злоумышленники не могли получить доступ к хранящимся паролям.
Недавно была обнаружена уязвимость, известная как CVE-2023-24055, с помощью которой злоумышленники, имеющие доступ на запись в системе, могу изменять файл конфигурации KeePass XML и внедрять злонамеренный триггер, который экспортирует базу данных, включая все имена пользователей и пароли в открытом виде.
Пользователь запускает менеджер паролей KeePass и вводит мастер-пароль для открытия и расшифровки базы данных, далее срабатывает правило экспорта, и содержимое базы данных сохраняется в файл, который злоумышленники могут позже переместить в систему, находящуюся под их контролем.
Однако этот процесс экспорта запускается в фоновом режиме без уведомления пользователя или запроса KeePass на ввод мастер-пароля в качестве подтверждения перед экспортом, что позволяет злоумышленнику незаметно получить доступ ко всем сохраненным паролям.
После того, как об этом было сообщено и присвоен номер уязвимости CVE-ID, пользователи попросили команду разработчиков KeePass добавить запрос на подтверждение перед тихим экспортом базы данных, подобным тому, который был вызван злонамеренным изменением конфигурационного файла, или предоставить версию приложения без функции экспорта.
Другой запрос пользователей — добавить настраиваемый флаг для отключения экспорта внутри фактической базы данных KeePass, который затем можно было бы изменить, только зная мастер-пароль.
С тех пор как был присвоен номер уязвимости CVE-2023-24055, в Интернете уже появился подобный эксплойт, и что, вероятно,он облегчает разработчикам вредоносного ПО модернизацию программ для кражи информации, позволяющих сбросить и украсть содержимое баз данных KeePass на скомпрометированных устройствах.
Уязвимость оспаривается разработчиками KeePass
Хотя группа реагирования на инциденты информационной безопасности CERT из Нидерландов и Бельгии также выпустили рекомендации по безопасности в отношении CVE-2023-24055, команда разработчиков KeePass утверждает, что проблему не следует классифицировать как уязвимость, учитывая, что злоумышленники, имеющие доступ для записи к устройству пользователя, также могут получить информацию, содержащуюся в базе данных KeePass, другими способами.
Фактически, на странице «Проблемы безопасности» в справочном центре KeePass проблема «Запись доступа к файлу конфигурации» доступна как минимум с апреля 2019 года как «на самом деле не уязвимость безопасности KeePass».
Если пользователь использует KeePass как обычное ПО и злоумышленники имеют доступ на запись в системе, они могут выполнять различные виды атак. Также, если пользователь использует портативную версию KeePass, злоумышленники могут заменить исполняемый файл на вредоносное ПО.
Однако, даже если разработчики KeePass не предоставят пользователям версию приложения, которая решает проблему экспорта в открытый текст с помощью триггеров, вы все равно можете защитить свою базу данных, войдя в систему в качестве системного администратора и создав принудительный файл конфигурации.
Такой тип файла конфигурации имеет более высокий приоритет над параметрами, описанными в глобальных и локальных файлах конфигурации, включая новые триггеры, которыми могут воспользоваться злоумышленники. Таким образом можно решить проблему CVE-2023-24055.
Прежде чем использовать принудительный файл конфигурации, вы также должны убедиться, что у обычных пользователей системы нет доступа на запись к каким-либо файлам/папкам в каталоге приложений KeePass.
И есть еще один вариант, который может позволить злоумышленникам обойти принудительные конфигурации: использование исполняемого файла KeePass, запущенного из другой папки, чем та, в которой был сохранен ваш принудительный файл конфигурации.
Источник новости: www.playground.ru