Sebezhetővé vált a KeePass jelszókezelő?

​Biztonsági szakemberek a népszerű KeePass jelszókezelő alkalmazás kapcsán egy gyenge pontra hívták fel a figyelmet.
 

Manapság a jelszókezelő alkalmazásokra és szolgáltatásokra minden korábbinál fontosabb szerep hárul. Léteznek helyi adatbázisokra épülő szoftverek, illetve felhős szolgáltatások. Nyilván mindegyiknek megvan a maga előnye és hátránya, de az elmondható, hogy legyen szó bármely változatról, a mesterjelszó biztonságán áll vagy bukik minden. Ez az a jelszó, amellyel az alkalmazások, szolgáltatások által tárolt jelszavak, illetve egyéb adatok titkosítása, illetve dekódolása megtörténik. Mindez pedig a kiberbűnözők figyelmét sem kerüli el, különösen akkor nem, ha egy megoldásról kiderül, hogy annak a mesterjelszavas védelme így vagy úgy, de megkerülhető. A KeePass kapcsán biztonsági szakértők pontosan egy ilyen gyenge pontra világítottak rá.
 
A gyenge láncszem kihasználásával egy támadó elérheti azt, hogy amikor a felhasználó megadja a mester jelszavát, akkor a KeePass a háttérben, mindenféle értesítés nélkül, észrevétlen módon kiexportálja egy fájlba az összes általa tárolt hitelesítő és egyéb adatot, méghozzá titkosítatlanul. Vagyis egy olyan sima szöveges (XML-formátumú) fájlt generál le, amelyben a felhasználó minden értékes adata teljesen védtelenül megtalálható. Amennyiben ezt egy támadó megkaparintja, akkor onnantól kezdve komoly visszaéléseket követhet el.
 
Az említett támadás kihasználásához arra van szüksége az elkövetőnek, hogy legyen írási joga a KeePass megfelelő konfigurációs állományán. Ha ez adott számára, akkor abba olyan utasításokat tud elhelyezni, amik révén az automatikus adatexportálás megtörténik a következő programindítást, illetve mesterjelszó megadást követően.
 
A kockázatokat fokozza, hogy a rendellenesség kihasználásához szükséges mintakódok, exploitok már elérhetők az interneten, így azokat nem nehéz beépíteni akár vírusokba sem, amelyek a szóban forgó támadásokat automatizálhatóvá tehetik.
 
Mit lehet tenni?
 
A KeePass biztonsági gyengesége az utóbbi napokban - holland és belga CERT-csapatok közbenjárására - CVE-azonosítót (CVE-2023-24055) kapott, vagyis sebezhetőségként lehet rá tekinteni. Ugyanakkor a fejlesztők nem sérülékenységként kezelik azt, így biztonsági frissítés sem várható a közeljövőben. A támadási lehetőség napvilágra kerülését követően sokan kezdték kérni a fejlesztőktől, hogy tegyék kikapcsolhatóvá ezt a fajta adatexportot, vagy legalább figyelmeztessen az alkalmazás egy exportálási művelet előtt.
 
Mivel még azon megy a huzavona, hogy egy biztonsági hibáról vagy egy visszaélésekre módot adó funkcióról van szó, ezért nem biztos, hogy hamar születik megoldás a problémára. Így elsősorban azzal csökkenthető a kockázat, ha a KeePass alkalmazást megfelelően védett számítógépre telepítjük, és a konfigurációs fájljaihoz csak a legszükségesebb jogokat adjuk meg az írás/módosítás tekintetében. Esetenként az úgynevezett "Enforced Configuration" lehetőség beállítása is segíthet a károk megelőzésében.