Менеджер паролей с открытым исходным кодом KeePass опроверг утверждения о том, что в нем есть серьезная уязвимость, позволяющая получить неправомерный доступ к хранилищам паролей пользователей.
KeePass предназначен в первую очередь для индивидуального использования, а не для управления бизнес-паролями. Он отличается от многих популярных менеджеров паролей тем, что не хранит свою базу данных на облачных серверах; вместо этого он сохраняет их локально на устройстве пользователя.
Недавно обнаруженная уязвимость, известная как CVE-2023-24055 (открывается в новой вкладке) , позволяет хакерам, которые уже получили доступ к системе пользователя, экспортировать все свое хранилище в виде простого текста, изменяя файл конфигурации XML, полностью раскрывая все свои имена пользователей и пароли.
Не наша проблема
Когда жертва открывает KeePass и вводит свой мастер-пароль для доступа к своему хранилищу, это инициирует экспорт базы данных в файл, который хакеры могут украсть. Процесс тихо работает в фоновом режиме, не уведомляя KeePass или вашу операционную систему, поэтому не требуется проверка или аутентификация, что оставляет жертву в неведении.
Пользователи на Форум Sourceforge (открывается в новой вкладке) попросили KeePass реализовать требование о вводе своего мастер-пароля до того, как будет разрешен экспорт, или отключить функцию экспорта по умолчанию и потребовать мастер-пароль для ее повторного включения.
Работоспособный эксплойт этой уязвимости уже был опубликован в Интернете, поэтому это только вопрос времени, когда разработчики вредоносных программ доработают его и сделают широко распространенным.
Не отрицая существования уязвимости CVE-2023-24055, KeePass утверждает, что она не может защитить от злоумышленников, которые уже контролируют вашу систему. Они заявили, что злоумышленники, имеющие доступ на запись к системе пользователя, могут украсть их хранилище паролей с помощью всевозможных средств, которые они не могут предотвратить.
Еще в апреле 2019 года она была описана как проблема «доступа для записи в файл конфигурации», при этом KeePass утверждал, что это не уязвимость, относящаяся к самому диспетчеру паролей.
Разработчики заявили, что «имея доступ для записи к конфигурационному файлу KeePass, как правило, подразумевает, что злоумышленник может выполнять гораздо более мощные атаки, чем изменение конфигурационного файла (и эти атаки, в конце концов, также могут повлиять на KeePass, независимо от защиты конфигурационного файла)». .
«Эти атаки можно предотвратить, только поддерживая безопасность среды (используя антивирусное программное обеспечение, брандмауэр, не открывая неизвестные вложения электронной почты и т. д.). KeePass не может волшебным образом безопасно работать в небезопасной среде», — добавили они.
Хотя KeePass не хочет добавлять какие-либо дополнительные средства защиты для предотвращения несанкционированного экспорта XML-файла, пользователи могут попробовать обходной путь. Если вместо этого они войдут в систему как пользователь-администратор, они смогут создать принудительный файл конфигурации, который предотвратит запуск экспорта. Прежде чем активировать учетную запись администратора, они должны убедиться, что никто другой не имеет прав на запись в файлы и каталоги KeePass.
Однако даже это не является надежным, поскольку злоумышленники могут запустить копию исполняемого файла KeePass в другом каталоге, отдельном от того, где хранится принудительный файл конфигурации, а это означает, что, согласно KeePass, «эта копия не знает принудительного файла конфигурации, который хранится в другом месте, [поэтому] никакие настройки не применяются».
Хотите надежно заблокировать свою систему? Тогда вам следует подумать об использовании лучших ключей безопасности.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba