Менеджер паролей с открытым исходным кодом KeePass опроверг утверждения о том, что в нем есть серьезная уязвимость, позволяющая получить неправомерный доступ к хранилищам паролей пользователей.
KeePass предназначен в первую очередь для индивидуального использования, а не для управления бизнес-паролями. Он отличается от многих популярных менеджеров паролей тем, что не хранит свою базу данных на облачных серверах; вместо этого он сохраняет их локально на устройстве пользователя.
Недавно обнаруженная уязвимость, известная как CVE-2023-24055 (открывается в новой вкладке) , позволяет хакерам, которые уже получили доступ к системе пользователя, экспортировать все свое хранилище в виде простого текста, изменяя файл конфигурации XML, полностью раскрывая все свои имена пользователей и пароли.
Не наша проблема
Когда жертва открывает KeePass и вводит свой мастер-пароль для доступа к своему хранилищу, это инициирует экспорт базы данных в файл, который хакеры могут украсть. Процесс тихо работает в фоновом режиме, не уведомляя KeePass или вашу операционную систему, поэтому не требуется проверка или аутентификация, что оставляет жертву в неведении.
Пользователи на Форум Sourceforge (открывается в новой вкладке) попросили KeePass реализовать требование о вводе своего мастер-пароля до того, как будет разрешен экспорт, или отключить функцию экспорта по умолчанию и потребовать мастер-пароль для ее повторного включения.
Работоспособный эксплойт этой уязвимости уже был опубликован в Интернете, поэтому это только вопрос времени, когда разработчики вредоносных программ доработают его и сделают широко распространенным.
Не отрицая существования уязвимости CVE-2023-24055, KeePass утверждает, что она не может защитить от злоумышленников, которые уже контролируют вашу систему. Они заявили, что злоумышленники, имеющие доступ на запись к системе пользователя, могут украсть их хранилище паролей с помощью всевозможных средств, которые они не могут предотвратить.
Еще в апреле 2019 года она была описана как проблема «доступа для записи в файл конфигурации», при этом KeePass утверждал, что это не уязвимость, относящаяся к самому диспетчеру паролей.
Разработчики заявили, что «имея доступ для записи к конфигурационному файлу KeePass, как правило, подразумевает, что злоумышленник может выполнять гораздо более мощные атаки, чем изменение конфигурационного файла (и эти атаки, в конце концов, также могут повлиять на KeePass, независимо от защиты конфигурационного файла)». .
«Эти атаки можно предотвратить, только поддерживая безопасность среды (используя антивирусное программное обеспечение, брандмауэр, не открывая неизвестные вложения электронной почты и т. д.). KeePass не может волшебным образом безопасно работать в небезопасной среде», — добавили они.
Хотя KeePass не хочет добавлять какие-либо дополнительные средства защиты для предотвращения несанкционированного экспорта XML-файла, пользователи могут попробовать обходной путь. Если вместо этого они войдут в систему как пользователь-администратор, они смогут создать принудительный файл конфигурации, который предотвратит запуск экспорта. Прежде чем активировать учетную запись администратора, они должны убедиться, что никто другой не имеет прав на запись в файлы и каталоги KeePass.
Однако даже это не является надежным, поскольку злоумышленники могут запустить копию исполняемого файла KeePass в другом каталоге, отдельном от того, где хранится принудительный файл конфигурации, а это означает, что, согласно KeePass, «эта копия не знает принудительного файла конфигурации, который хранится в другом месте, [поэтому] никакие настройки не применяются».
Хотите надежно заблокировать свою систему? Тогда вам следует подумать об использовании лучших ключей безопасности.