دحض مدير كلمات المرور مفتوح المصدر KeePass الادعاءات القائلة بأن لديه عيبًا أمنيًا كبيرًا يسمح بالوصول غير المبرر إلى خزائن كلمات مرور المستخدم.
تم تصميم KeePass بشكل أساسي للاستخدام الفردي ، بدلاً من أن يكون مدير كلمات مرور الأعمال. يختلف عن العديد من مديري كلمات المرور المشهورين من حيث أنه لا يخزن قاعدة البيانات الخاصة به في الخوادم السحابية ؛ بدلاً من ذلك ، يقوم بتخزينها محليًا على جهاز المستخدم.
الثغرة المكتشفة حديثًا ، والمعروفة باسم CVE-2023-24055 (يفتح في علامة تبويب جديدة) ، يسمح للمتسللين الذين حصلوا بالفعل على حق الوصول إلى نظام المستخدم بتصدير خزنتهم بالكامل بنص عادي عن طريق تغيير ملف تكوين XML ، وكشف جميع أسماء المستخدمين وكلمات المرور الخاصة بهم تمامًا.
ليست مشكلتنا
عندما تفتح الضحية KeePass وتدخل كلمة المرور الرئيسية للوصول إلى قبوها ، فسيؤدي ذلك إلى تصدير قاعدة البيانات إلى ملف يمكن للمتسللين سرقته. تسير العملية بهدوء في أعمالها في الخلفية ، دون إخطار KeePass أو نظام التشغيل الخاص بك ، لذلك لا يلزم التحقق أو المصادقة ، مما يجعل الضحية غير أكثر حكمة.
المستخدمون في ملف منتدى سورس فورج (يفتح في علامة تبويب جديدة) طلبت من KeePass تنفيذ متطلبات إدخال كلمة المرور الرئيسية قبل السماح بحدوث التصدير ، أو تعطيل ميزة التصدير افتراضيًا والمطالبة بكلمة المرور الرئيسية لإعادة تمكينها.
تمت بالفعل مشاركة استغلال عملي لهذه الثغرة الأمنية عبر الإنترنت ، لذا فهي مسألة وقت فقط قبل أن يتم تطويرها من قبل مطوري البرامج الضارة ونشرها على نطاق واسع.
بالرغم من عدم إنكار وجود الثغرة الأمنية CVE-2023-24055 ، فإن حجة KeePass هي أنها لا تستطيع الحماية من الجهات الفاعلة المهددة التي تتحكم بالفعل في نظامك. قالوا إن المهاجمين الذين لديهم حق الوصول للكتابة إلى نظام المستخدم يمكن أن يسرقوا خزنة كلمات المرور الخاصة بهم عبر جميع أنواع الوسائل التي لا يستطيع منعها.
تم وصفه بأنه مشكلة `` الوصول للكتابة إلى ملف التكوين '' في أبريل 2019 ، مع ادعاء KeePass أنها ليست ثغرة أمنية تتعلق بمدير كلمات المرور نفسه.
قال المطورون إن "امتلاك حق الوصول للكتابة إلى ملف تكوين KeePass يعني عادةً أن المهاجم يمكنه في الواقع تنفيذ هجمات أقوى بكثير من تعديل ملف التكوين (ويمكن أن تؤثر هذه الهجمات في النهاية أيضًا على KeePass ، بغض النظر عن حماية ملف التكوين)" .
"لا يمكن منع هذه الهجمات إلا من خلال الحفاظ على البيئة آمنة (باستخدام برنامج مكافحة فيروسات ، أو جدار ناري ، أو عدم فتح مرفقات بريد إلكتروني غير معروفة ، وما إلى ذلك). وأضافوا أن KeePass لا يمكنه العمل بطريقة سحرية بأمان في بيئة غير آمنة ".
بينما لا يرغب KeePass في إضافة أي حماية إضافية لمنع التصدير غير المصرح به لملف XML ، هناك حل بديل يمكن للمستخدمين تجربته. إذا قاموا بتسجيل الدخول كمسؤول مستخدم بدلاً من ذلك ، فيمكنهم إنشاء ملف تكوين مفروض ، مما يمنع بدء التصدير. يجب عليهم أولاً التأكد من عدم امتلاك أي شخص آخر حق الوصول للكتابة إلى ملفات وأدلة KeePass قبل تنشيط حساب المسؤول.
ومع ذلك ، حتى هذا ليس مضمونًا ، حيث يمكن للمهاجمين تشغيل نسخة من ملف KeePass القابل للتنفيذ في دليل آخر منفصل عن مكان تخزين ملف التكوين المفروض ، مما يعني أنه ، وفقًا لـ KeePass ، "هذه النسخة لا تعرف ملف التكوين المفروض الذي مخزنة في مكان آخر ، [لذلك] لم يتم فرض أي إعدادات. "
هل تريد قفل نظامك بإحكام؟ ثم عليك التفكير في استخدام أفضل مفاتيح الأمان