Мениджърът на пароли с отворен код KeePass опроверга твърденията, че има сериозен пропуск в сигурността, позволяващ неправомерен достъп до хранилищата с потребителски пароли.
KeePass е предназначен предимно за индивидуална употреба, а не като мениджър на бизнес пароли. Той се различава от много популярни мениджъри на пароли по това, че не съхранява своята база данни в облачни сървъри; вместо това ги съхранява локално на устройството на потребителя.
Новооткритата уязвимост, известна като CVE-2023 24055- (отваря се в нов раздел) , позволява на хакери, които вече са получили достъп до системата на потребителя, да експортират целия си трезор в обикновен текст, като променят XML конфигурационен файл, разкривайки напълно всичките си потребителски имена и пароли.
Не е наш проблем
Когато жертвата отвори KeePass и въведе главната си парола за достъп до своя трезор, това ще задейства експортирането на базата данни във файл, който хакерите могат да откраднат. Процесът тихо си върши работата във фонов режим, без да уведомява KeePass или вашата операционна система, така че не се изисква проверка или удостоверяване, оставяйки жертвата по-мъдра.
Потребителите на a Форум на Sourceforge (отваря се в нов раздел) са поискали от KeePass да изпълни изискването тяхната главна парола да бъде въведена, преди да бъде разрешено експортирането, или да деактивира функцията за експортиране по подразбиране и да изисква главната парола, за да я активира отново.
Работещ експлойт на тази уязвимост вече е споделен онлайн, така че е само въпрос на време да бъде разработен допълнително от разработчиците на злонамерен софтуер и да стане широко разпространен.
Въпреки че не отрича съществуването на уязвимостта CVE-2023-24055, аргументът на KeePass е, че не може да защити срещу заплахи, които вече имат контрол над вашата система. Те казаха, че участниците в заплаха с достъп за запис до системата на потребителя могат да откраднат хранилището им с пароли чрез всякакви средства, които не могат да предотвратят.
Беше описан като проблем с „достъп за запис до конфигурационния файл“ през април 2019 г., като KeePass твърди, че това не е уязвимост, отнасяща се до самия мениджър на пароли.
Разработчиците казаха, че „наличието на достъп за запис до конфигурационния файл на KeePass обикновено предполага, че атакуващият може действително да извърши много по-мощни атаки от модифицирането на конфигурационния файл (и тези атаки в крайна сметка също могат да засегнат KeePass, независимо от защитата на конфигурационния файл)“ .
„Тези атаки могат да бъдат предотвратени само чрез поддържане на средата защитена (чрез използване на антивирусен софтуер, защитна стена, неотваряне на неизвестни прикачени файлове към имейл и т.н.). KeePass не може магически да работи сигурно в несигурна среда”, добавиха те.
Въпреки че KeePass не желаят да добавят допълнителни защити за предотвратяване на неупълномощено експортиране на XML файла, има заобиколно решение, което потребителите могат да опитат. Ако вместо това влязат като потребителски администратор, те могат да създадат принуден конфигурационен файл, който предотвратява задействането на експортирането. Те първо трябва да се уверят, че никой друг няма достъп за запис до KeePass файлове и директории, преди да активират администраторския акаунт.
Но дори и това не е безупречно, тъй като атакуващите могат да стартират копие на изпълнимия файл на KeePass в друга директория, отделна от мястото, където се съхранява принудителният конфигурационен файл, което означава, че според KeePass „това копие не познава принудителния конфигурационен файл, който се съхранява другаде, [следователно] не се прилагат никакви настройки.“
Искате ли да заключите здраво системата си? Тогава трябва да обмислите използването на най-добрите ключове за сигурност
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba