{"id":4326,"date":"2023-02-05T09:30:58","date_gmt":"2023-02-05T08:30:58","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4326"},"modified":"2023-02-05T00:38:07","modified_gmt":"2023-02-04T23:38:07","slug":"trajna-keepass-ranjivost","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/02\/05\/trajna-keepass-ranjivost\/","title":{"rendered":"Trajna KeePass ranjivost?"},"content":{"rendered":"

Otkrivena je ranjivost u KeePass<\/em> menad\u017eeru lozinki<\/a> otvorenog k\u00f4da, koja napada\u010dima omogu\u0107ava izvoz \u010ditave baze lozinki u obi\u010dan tekst. Me\u0111utim razvojni programeri KeePass<\/em> menad\u017eera lozinki ovo osporavaju.<\/span><\/p>\n

\"KeePass\"

Trajna KeePass ranjivost?; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

KeePass Password Safe<\/em><\/a> je popularni menad\u017eer lozinki otvorenog k\u00f4da koji korisnicima omogu\u0107ava upravljanje i \u010duvanje lozinki<\/a> lokalno, za razliku od drugih menad\u017eera lozinki koji to rade u oblaku. Da bi za\u0161titio svoju bazu lozinki, korisnik mo\u017ee izvr\u0161iti \u0161ifrovanje (enkripciju)<\/a> baze lozinki uz kori\u0161tenje glavne lozinke za zaklju\u010davanje i otklju\u010davanje baze, tako da zlonamjerni softver ili napada\u010d ne mogu do\u0107i do lozinki.<\/span><\/p>\n

 <\/p>\n

KeePass\u00a0<\/em> ranjivost<\/strong><\/span><\/h2>\n

Prona\u0111ena ranjivost KeePass<\/em> menad\u017eeru je ozna\u010dena kao CVE-2023-24055<\/em><\/a> sa ocjenom ranjivosti CVSS 5.5<\/em>, a pogo\u0111ena je verzija 2.x<\/em>. Ranjivost omogu\u0107ava napada\u010du sa dozvolom upisa da izmjeni KeePass<\/em> konfiguracijsku XML<\/em> datoteku i ubace zlonamjerni okida\u010d<\/a> koji \u0107e omogu\u0107iti izvoz baze korisni\u010dkih lozinki sa korisni\u010dkim imenima u obi\u010dnu tekst datoteku.<\/span><\/p>\n

Kada korisnik sljede\u0107i put pokrene KeePass menad\u017eer lozinki i unese glavnu lozinku za otklju\u010davanje baze, uba\u010deni zlonamjerni okida\u010d u konfiguracijsku XML<\/em> datoteku se pokre\u0107e i snima sve lozinke sa korisni\u010dkim imenima u posebnu datoteku koju napada\u010d mo\u017ee pro\u010ditati i preuzeti. Ovo se odvija u pozadini, bez ikakvog obavje\u0161tenja za korisnika, bez bilo kakvog znaka da se ne\u0161to odvija u pozadini i zahtjeva za unosom glavne lozinke, \u0161to napada\u010du omogu\u0107ava da kra\u0111u obavi neprimjetno.<\/span><\/p>\n

Da stvar bude gora, koncept zloupotrebe ranjivosti CVE-2023-24055<\/em> (eng. PoC exploit<\/em>) je javno objavljen<\/a>, \u0161to olak\u0161ava zlonamjernim napada\u010dima da usavr\u0161e svoje softvere za kra\u0111u lozinki kako bi mogli vr\u0161iti kra\u0111u lozinki iz baza KeePass<\/em> menad\u017eera lozinki na zara\u017eenim ure\u0111ajima.<\/span><\/p>\n

 <\/p>\n

Zahtjevi korisnika<\/span><\/strong><\/h3>\n

Nakon objave ove ranjivosti, korisnici su po\u010deli tra\u017eiti od razvojnog tima programera KeePass<\/em> menad\u017eera lozinki da bar dodaju obavezan unos glavne lozinke prilikom izvoza baze lozinki ili da objave verziju koja ne\u0107e imati opciju izvoza lozinki. Neki korisnici su predlo\u017eili da se onemogu\u0107i opcija izvoza baze lozinki bez glavne lozinke i da se samo mo\u017ee omogu\u0107iti unosom glavne lozinke.<\/span><\/p>\n

Me\u0111utim, razvojni tim programera KeePass <\/em>menad\u017eera lozinki na ranjivost CVE-2023-24055 <\/em>gleda druga\u010dije<\/a>. Oni osporavaju ovu ranjivost, a jedan od argumenata je:<\/span><\/p>\n

\u201cPosjedovanje pristupa za upis u konfiguracionu datoteku KeePass<\/em> obi\u010dno implicira da napada\u010d zapravo mo\u017ee da izvede mnogo mo\u0107nije napade od modifikacije konfiguracione datoteke (i ovi napadi na kraju tako\u0111e mogu uticati na KeePass<\/em>, nezavisno od za\u0161tite konfiguracione datoteke).<\/span><\/p>\n

Ovi napadi se mogu sprije\u010diti samo bezbjednim okru\u017eenjem (koriste\u0107i antivirusni softver, za\u0161titni zid, ne otvarajuc\u0301i nepoznate priloge elektronske po\u0161te, itd.). KeePass<\/em> ne mo\u017ee magi\u010dno da radi bezbjedno u nesigurnom okru\u017eenju.\u201d<\/span><\/p><\/blockquote>\n

\u010cini se da razvojni tim programera KeePass<\/em> menad\u017eera lozinki ne \u017eeli dodati niti jednu od funkcija koje su predlo\u017eili korisnici, jer je tema zatvorena<\/a>. Dominik Reichl<\/em>, programer menad\u017eera lozinki, osporava zahtjeve korisnika navode\u0107i da ve\u0107 postoji opcija za primjenu nametnute konfiguracijske datoteke (eng. enforced configuration file<\/em>) koja ima ve\u0107i prioritet od obi\u010dne konfiguracijske datoteke KeePass<\/em> menad\u017eera lozinki. Me\u0111utim, primjena ove opcije ne rje\u0161ava ovaj problem. \u010cak i kada se opcija upisa u konfiguracionu datoteku onemogu\u0107i za KeePass<\/em> mapu (eng. folder<\/em>) kao bi se napada\u010d onemogu\u0107io da bez administratorskih privilegija to izvr\u0161i, on jo\u0161 uvijek mo\u017ee pokrenuti drugu instancu KeePass<\/em> aplikacije da u\u010dita bazu. Nametnuta konfiguracijska datoteka funkcioni\u0161e samo za KeePass<\/em> ako se nalazi u istoj mapi kao i izvr\u0161na datoteka.<\/span><\/p>\n

 <\/p>\n

Opcije za za\u0161titu<\/span><\/strong><\/h4>\n

Korisnici za po\u010detak mogu podesiti da se tra\u017ei glavna lozinka prilikom izvoza lozinki. Ovo se mo\u017ee podesiti kao na slici:<\/span><\/p>\n

\"keepass

KeePass pode\u0161avanje<\/em><\/p><\/div>\n

(1) Tools<\/em> > (2) Options… <\/em>> (3) Policy<\/em> > (4) Do not require entering current master key before exporting.<\/em> Korisnici ovdje moraju poni\u0161titi odabir ove opcije kako bi onemogu\u0107ili izvoz lozinki bez zahtjeva za glavnom lozinkom. Treba ipak imati na umu da napada\u010di sa pravom upisa u konfiguracionu datoteku mogu ovo ponovo uklju\u010diti. Za korisnike koji su i dalje zabrinuti ima jo\u0161 opcija.<\/span><\/p>\n

 <\/p>\n

Opcija prelaska na KeePass 1.x<\/em><\/strong><\/span><\/h5>\n

KeePass 1.x <\/em>je ograni\u010dena verzija menad\u017eera lozinki koja ne podr\u017eava okida\u010de i nalazi se jo\u0161 uvijek u razvoju. Potrebno je napomenuti da ovoj verziji nedostaje jo\u0161 nekih funkcionalnosti iz verzije 2.x<\/em>, osim okida\u010da. Listu razlika mo\u017eete pogledati ovdje<\/a>.<\/span><\/p>\n

 <\/p>\n

Opcija prelaska na KeePassXC <\/em>ili neki drugi fork<\/strong><\/span><\/h5>\n

KeePassXC<\/em><\/a> ne podr\u017eava okida\u010de i podr\u017eava u\u010ditavanje baze sa lozinkama, me\u0111utim korisnici mogu koristiti i druge fork verzije.<\/span><\/p>\n

 <\/p>\n

Na kraju je najva\u017enije da se onemogu\u0107i napada\u010du da dobije pristup korisni\u010dkom ure\u0111aju i do\u0111e do privilegovanih naloga. Zato uvijek biti oprezan sa dokumentima u prilogu elektronske po\u0161te od nepoznatih po\u0161iljalaca. Ako je elektronska po\u0161ta od poznatog po\u0161iljaoca, a dokument nije o\u010dekivan kontaktirati po\u0161iljaoca i provjeriti da li je on poslao dokument ili je njegova adresa elektronske po\u0161te mo\u017eda kompromitovana. Pored toga, koristiti provjereno antivirusno rje\u0161enje sa mogu\u0107no\u0161\u0107u detekcije na osnovu pona\u0161anja za efikasnu za\u0161titu od poznatih i nepoznatih prijetnji i redovno a\u017eurirati operativni sistem i prate\u0107i softver.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Otkrivena je ranjivost u KeePass menad\u017eeru lozinki otvorenog k\u00f4da, koja napada\u010dima omogu\u0107ava izvoz \u010ditave baze lozinki u obi\u010dan tekst. Me\u0111utim razvojni programeri KeePass menad\u017eera lozinki ovo osporavaju. KeePass Password Safe je popularni menad\u017eer lozinki...<\/p>","protected":false},"author":1,"featured_media":4329,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[267,63,266,126],"class_list":["post-4326","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-keepass","tag-lozinka","tag-menadzer-lozinki","tag-vulnerability"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4326","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4326"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4326\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4329"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4326"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4326"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4326"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}