Trajna KeePass ranjivost?

AUTOR · Published · Updated

Otkrivena je ranjivost u KeePass menadžeru lozinki otvorenog kôda, koja napadačima omogućava izvoz čitave baze lozinki u običan tekst. Međutim razvojni programeri KeePass menadžera lozinki ovo osporavaju.

KeePass

Trajna KeePass ranjivost?; Dizajn: Saša Đurić

KeePass Password Safe je popularni menadžer lozinki otvorenog kôda koji korisnicima omogućava upravljanje i čuvanje lozinki lokalno, za razliku od drugih menadžera lozinki koji to rade u oblaku. Da bi zaštitio svoju bazu lozinki, korisnik može izvršiti šifrovanje (enkripciju) baze lozinki uz korištenje glavne lozinke za zaključavanje i otključavanje baze, tako da zlonamjerni softver ili napadač ne mogu doći do lozinki.

 

KeePass  ranjivost

Pronađena ranjivost KeePass menadžeru je označena kao CVE-2023-24055 sa ocjenom ranjivosti CVSS 5.5, a pogođena je verzija 2.x. Ranjivost omogućava napadaču sa dozvolom upisa da izmjeni KeePass konfiguracijsku XML datoteku i ubace zlonamjerni okidač koji će omogućiti izvoz baze korisničkih lozinki sa korisničkim imenima u običnu tekst datoteku.

Kada korisnik sljedeći put pokrene KeePass menadžer lozinki i unese glavnu lozinku za otključavanje baze, ubačeni zlonamjerni okidač u konfiguracijsku XML datoteku se pokreće i snima sve lozinke sa korisničkim imenima u posebnu datoteku koju napadač može pročitati i preuzeti. Ovo se odvija u pozadini, bez ikakvog obavještenja za korisnika, bez bilo kakvog znaka da se nešto odvija u pozadini i zahtjeva za unosom glavne lozinke, što napadaču omogućava da krađu obavi neprimjetno.

Da stvar bude gora, koncept zloupotrebe ranjivosti CVE-2023-24055 (eng. PoC exploit) je javno objavljen, što olakšava zlonamjernim napadačima da usavrše svoje softvere za krađu lozinki kako bi mogli vršiti krađu lozinki iz baza KeePass menadžera lozinki na zaraženim uređajima.

 

Zahtjevi korisnika

Nakon objave ove ranjivosti, korisnici su počeli tražiti od razvojnog tima programera KeePass menadžera lozinki da bar dodaju obavezan unos glavne lozinke prilikom izvoza baze lozinki ili da objave verziju koja neće imati opciju izvoza lozinki. Neki korisnici su predložili da se onemogući opcija izvoza baze lozinki bez glavne lozinke i da se samo može omogućiti unosom glavne lozinke.

Međutim, razvojni tim programera KeePass menadžera lozinki na ranjivost CVE-2023-24055 gleda drugačije. Oni osporavaju ovu ranjivost, a jedan od argumenata je:

“Posjedovanje pristupa za upis u konfiguracionu datoteku KeePass obično implicira da napadač zapravo može da izvede mnogo moćnije napade od modifikacije konfiguracione datoteke (i ovi napadi na kraju takođe mogu uticati na KeePass, nezavisno od zaštite konfiguracione datoteke).

Ovi napadi se mogu spriječiti samo bezbjednim okruženjem (koristeći antivirusni softver, zaštitni zid, ne otvarajući nepoznate priloge elektronske pošte, itd.). KeePass ne može magično da radi bezbjedno u nesigurnom okruženju.”

Čini se da razvojni tim programera KeePass menadžera lozinki ne želi dodati niti jednu od funkcija koje su predložili korisnici, jer je tema zatvorena. Dominik Reichl, programer menadžera lozinki, osporava zahtjeve korisnika navodeći da već postoji opcija za primjenu nametnute konfiguracijske datoteke (eng. enforced configuration file) koja ima veći prioritet od obične konfiguracijske datoteke KeePass menadžera lozinki. Međutim, primjena ove opcije ne rješava ovaj problem. Čak i kada se opcija upisa u konfiguracionu datoteku onemogući za KeePass mapu (eng. folder) kao bi se napadač onemogućio da bez administratorskih privilegija to izvrši, on još uvijek može pokrenuti drugu instancu KeePass aplikacije da učita bazu. Nametnuta konfiguracijska datoteka funkcioniše samo za KeePass ako se nalazi u istoj mapi kao i izvršna datoteka.

 

Opcije za zaštitu

Korisnici za početak mogu podesiti da se traži glavna lozinka prilikom izvoza lozinki. Ovo se može podesiti kao na slici:

keepass mitigation options

KeePass podešavanje

(1) Tools > (2) Options… > (3) Policy > (4) Do not require entering current master key before exporting. Korisnici ovdje moraju poništiti odabir ove opcije kako bi onemogućili izvoz lozinki bez zahtjeva za glavnom lozinkom. Treba ipak imati na umu da napadači sa pravom upisa u konfiguracionu datoteku mogu ovo ponovo uključiti. Za korisnike koji su i dalje zabrinuti ima još opcija.

 

Opcija prelaska na KeePass 1.x

KeePass 1.x je ograničena verzija menadžera lozinki koja ne podržava okidače i nalazi se još uvijek u razvoju. Potrebno je napomenuti da ovoj verziji nedostaje još nekih funkcionalnosti iz verzije 2.x, osim okidača. Listu razlika možete pogledati ovdje.

 

Opcija prelaska na KeePassXC ili neki drugi fork

KeePassXC ne podržava okidače i podržava učitavanje baze sa lozinkama, međutim korisnici mogu koristiti i druge fork verzije.

 

Na kraju je najvažnije da se onemogući napadaču da dobije pristup korisničkom uređaju i dođe do privilegovanih naloga. Zato uvijek biti oprezan sa dokumentima u prilogu elektronske pošte od nepoznatih pošiljalaca. Ako je elektronska pošta od poznatog pošiljaoca, a dokument nije očekivan kontaktirati pošiljaoca i provjeriti da li je on poslao dokument ili je njegova adresa elektronske pošte možda kompromitovana. Pored toga, koristiti provjereno antivirusno rješenje sa mogućnošću detekcije na osnovu ponašanja za efikasnu zaštitu od poznatih i nepoznatih prijetnji i redovno ažurirati operativni sistem i prateći softver.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.