В менеджере паролей KeePass найдена опасная уязвимость, позволяющая украсть пароли

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 1 Feb 2023.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    977
    Likes Received:
    2,349
    Reputations:
    25
    Разработчики опенсорсного менеджера паролей KeePass объясняют, что уязвимость, которая позволяет злоумышленнику похитить все пароли пользователя, не так уж опасна. Дело в том, что разработчики придерживаются мнения, что если злоумышленник контролирует вашу систему, то это уже не ваша система.

    KeePass — популярный менеджер паролей, который позволяет управлять паролями, используя локально хранимую базу данных, а не облачную, в отличие от LastPass или Bitwarden. Чтобы защитить такие локальные БД, пользователи могут зашифровать их с помощью мастер-пароля, чтобы проникшая в систему малварь или злоумышленник не могли попросту похитить БД и автоматически получить доступ ко всем хранящимся там данным.

    Обнаруженная в KeePass уязвимость (CVE-2023-24055) и позволяет злоумышленникам, имеющим доступ на запись в целевой системе, изменять XML-файл конфигурации KeePass и внедрять в него вредоносный триггер, который позволит экспортировать базу данных парольного менеджера, включая все хранящиеся там имена пользователей и пароли в формате простого текста.

    То есть в следующий раз, когда жертва запустит KeePass и введет мастер-пароль для открытия и расшифровки БД, сработает «закладка» для экспорта, и все содержимое базы будет сохранено в отдельном файле, который злоумышленники смогут прочитать и украсть. При этом процесс экспорта запускается в фоновом режиме без уведомления пользователя и запроса на ввод мастер-пароля, что позволяет атакующему оставаться незамеченным.

    Хуже того, PoC-эксплоит для CVE-2023-24055 уже опубликован в открытом доступе, а это значительно упрощает разработчикам малвари задачу по обновлению своих инфостилеров и созданию вредоносных программ, способных похищать базы KeePass со скомпрометированных устройств.

    После того как об уязвимости стало известно, пользователи просят команду разработчиков KeePass хотя бы добавить в менеджер паролей обязательное подтверждение, которое запрашивалось бы перед автоматическим экспортом БД, или опубликовать версию приложения, которая вообще не содержит функции экспорта. Также в программу предлагают добавить настраиваемый флаг для отключения экспорта внутри фактической БД KeePass, который можно было бы изменить, только зная мастер-пароль.

    Однако у команды разработчиков KeePass на этот счет имеется собственная точка зрения. По их мнению, CVE-2023-24055 вообще следует классифицировать как уязвимость, учитывая, что злоумышленник, уже имеющий доступ на запись на целевом устройстве, может получить информацию из базы данных KeePass многими другими способами.

    Фактически, в справочном центре KeePass проблема доступа к файлу конфигурации с правом на запись упоминается неоднократно, как минимум с апреля 2019 года. И там тоже сообщается, что «это не уязвимость в безопасности KeePass».

    https://xakep.ru/2023/01/31/keepass-flaw/
     
    user100 and Suicide like this.
  2. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,492
    Reputations:
    377
    Однако какие разрабы привередливые. Вот , и что б им окошко подтверждения экспорта БД не запилить и чекбокс - отключающий экспорт, религия не позволяет?
     
    _________________________
  3. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,816
    Likes Received:
    18,492
    Reputations:
    377
    Видимо мнение у разрабов поменялось, и таки, на днях в версии 2.53.1 CVE они исправили. Теперь Keepass при экспорте БД в любом случае запрашивает в подтверждение пароль:cool:
     
    _________________________
    alexzir likes this.
Loading...