KeePass является менеджером паролей с открытым исходным кодом, который позволяет хранить и управлять паролями локально, управляя вашей базой данных, а не в облачном хранилище, как это делают другие менеджеры паролей, такие как LastPass, 1Password или Bitwarden.
Ранее мы уже рассказывали, про инциденты безопасности с LastPass и Norton Password Manager, а также, что пользователи Bitwarden и 1Password подверглись новой фишинговой атаке.
Для защиты локальной базы данных, ее можно зашифровать мастер-паролем, чтобы злоумышленники не могли получить доступ к хранящимся паролям.
Недавно была обнаружена уязвимость, известная как CVE-2023-24055, с помощью которой злоумышленники, имеющие доступ на запись в системе, могу изменять файл конфигурации KeePass XML и внедрять злонамеренный триггер, который экспортирует базу данных, включая все имена пользователей и пароли в открытом виде.
Пользователь запускает менеджер паролей KeePass и вводит мастер-пароль для открытия и расшифровки базы данных, далее сработатывает правило экспорта, и содержимое базы данных сохраняется в файл, который злоумышленники могут позже переместить в систему, находящуюся под их контролем.
Однако этот процесс экспорта запускается в фоновом режиме без уведомления пользователя или запроса KeePass на ввод мастер-пароля в качестве подтверждения перед экспортом, что позволяет злоумышленнику незаметно получить доступ ко всем сохраненным паролям.
После того, как об этом было сообщено и присвоен номер уязвимости CVE-ID, пользователи попросили команду разработчиков KeePass добавить запрос на подтверждение перед тихим экспортом базы данных, подобным тому, который был вызван злонамеренным изменением конфигурационного файла, или предоставить версию приложения без функции экспорта.
Другой запрос пользователей — добавить настраиваемый флаг для отключения экспорта внутри фактической базы данных KeePass, который затем можно было бы изменить, только зная мастер-пароль.
С тех пор как был присвоен номер уязвимости CVE-2023-24055, в Интернете уже появился подобный эксплойт, и что, вероятно,он облегчает разработчикам вредоносного ПО модернизацию программ для кражи информации, позволяющих сбросить и украсть содержимое баз данных KeePass на скомпрометированных устройствах.
Уязвимость оспаривается разработчиками KeePass
Хотя группа реагирования на инциденты информационной безопасности CERT из Нидерландов и Бельгии также выпустили рекомендации по безопасности в отношении CVE-2023-24055, команда разработчиков KeePass утверждает, что проблему не следует классифицировать как уязвимость, учитывая, что злоумышленники, имеющие доступ для записи к устройству пользователя, также могут получить информацию, содержащуюся в базе данных KeePass, другими способами.
Фактически, на странице «Проблемы безопасности» в справочном центре KeePass проблема «Запись доступа к файлу конфигурации» доступна как минимум с апреля 2019 года как «на самом деле не уязвимость безопасности KeePass».
Если пользователь использует KeePass как обычное ПО и злоумышленники имеют доступ на запись в системе, они могут выполнять различные виды атак. Также, если пользователь использует портативную версию KeePass, злоумышленники могут заменить исполняемый файл на вредоносное ПО.
«В обоих случаях наличие доступа для записи к файлу конфигурации KeePass обычно означает, что злоумышленник может выполнять гораздо более мощные атаки, чем изменение файла конфигурации (и эти атаки, в конце концов, могут также повлиять на KeePass, независимо от защиты файла конфигурации). — объясняют разработчики KeePass.
«Данные атаки можно предотвратить, только поддерживая безопасность среды (используя антивирусное программное обеспечение, брандмауэр, не открывая неизвестные вложения электронной почты и т. д.). KeePass не может волшебным образом безопасно работать в небезопасной среде».
Однако, даже если разработчики KeePass не предоставят пользователям версию приложения, которая решает проблему экспорта в открытый текст с помощью триггеров, вы все равно можете защитить свою базу данных, войдя в систему в качестве системного администратора и создав принудительный файл конфигурации.
Такой тип файла конфигурации имеет более высокий приоритет над параметрами, описанными в глобальных и локальных файлах конфигурации, включая новые триггеры, которыми могут воспользоваться злоумышленники. Таким образом можно решить проблему CVE-2023-24055.
Прежде чем использовать принудительный файл конфигурации, вы также должны убедиться, что у обычных пользователей системы нет доступа на запись к каким-либо файлам/папкам в каталоге приложений KeePass.
И есть еще один вариант, который может позволить злоумышленникам обойти принудительные конфигурации: использование исполняемого файла KeePass, запущенного из другой папки, чем та, в которой был сохранен ваш принудительный файл конфигурации.
«Обратите внимание, что принудительный файл конфигурации применяется только к программе KeePass в том же каталоге», — сообщает команда разработчиков KeePass.
«Если пользователь запускает другую копию KeePass без принудительного файла конфигурации, эта копия не видит принудительный файл конфигурации, который хранится в другом месте, т. е. никакие настройки не применяются».
А каким менеджером паролей вы пользуетесь?
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах