Sebezhetővé vált a KeePass jelszókezelő?

​Biztonsági szakemberek a népszerű KeePass jelszókezelő alkalmazás kapcsán egy gyenge pontra hívták fel a figyelmet.
 

Manapság a jelszókezelő alkalmazásokra és szolgáltatásokra minden korábbinál fontosabb szerep hárul. Léteznek helyi adatbázisokra épülő szoftverek, illetve felhős szolgáltatások. Nyilván mindegyiknek megvan a maga előnye és hátránya, de az elmondható, hogy legyen szó bármely változatról, a mesterjelszó biztonságán áll vagy bukik minden. Ez az a jelszó, amellyel az alkalmazások, szolgáltatások által tárolt jelszavak, illetve egyéb adatok titkosítása, illetve dekódolása megtörténik. Mindez pedig a kiberbűnözők figyelmét sem kerüli el, különösen akkor nem, ha egy megoldásról kiderül, hogy annak a mesterjelszavas védelme így vagy úgy, de megkerülhető. A KeePass kapcsán biztonsági szakértők pontosan egy ilyen gyenge pontra világítottak rá.
 
A gyenge láncszem kihasználásával egy támadó elérheti azt, hogy amikor a felhasználó megadja a mester jelszavát, akkor a KeePass a háttérben, mindenféle értesítés nélkül, észrevétlen módon kiexportálja egy fájlba az összes általa tárolt hitelesítő és egyéb adatot, méghozzá titkosítatlanul. Vagyis egy olyan sima szöveges (XML-formátumú) fájlt generál le, amelyben a felhasználó minden értékes adata teljesen védtelenül megtalálható. Amennyiben ezt egy támadó megkaparintja, akkor onnantól kezdve komoly visszaéléseket követhet el.
 
Az említett támadás kihasználásához arra van szüksége az elkövetőnek, hogy legyen írási joga a KeePass megfelelő konfigurációs állományán. Ha ez adott számára, akkor abba olyan utasításokat tud elhelyezni, amik révén az automatikus adatexportálás megtörténik a következő programindítást, illetve mesterjelszó megadást követően.
 
A kockázatokat fokozza, hogy a rendellenesség kihasználásához szükséges mintakódok, exploitok már elérhetők az interneten, így azokat nem nehéz beépíteni akár vírusokba sem, amelyek a szóban forgó támadásokat automatizálhatóvá tehetik.
 
Mit lehet tenni?
 
A KeePass biztonsági gyengesége az utóbbi napokban - holland és belga CERT-csapatok közbenjárására - CVE-azonosítót (CVE-2023-24055) kapott, vagyis sebezhetőségként lehet rá tekinteni. Ugyanakkor a fejlesztők nem sérülékenységként kezelik azt, így biztonsági frissítés sem várható a közeljövőben. A támadási lehetőség napvilágra kerülését követően sokan kezdték kérni a fejlesztőktől, hogy tegyék kikapcsolhatóvá ezt a fajta adatexportot, vagy legalább figyelmeztessen az alkalmazás egy exportálási művelet előtt.
 
Mivel még azon megy a huzavona, hogy egy biztonsági hibáról vagy egy visszaélésekre módot adó funkcióról van szó, ezért nem biztos, hogy hamar születik megoldás a problémára. Így elsősorban azzal csökkenthető a kockázat, ha a KeePass alkalmazást megfelelően védett számítógépre telepítjük, és a konfigurációs fájljaihoz csak a legszükségesebb jogokat adjuk meg az írás/módosítás tekintetében. Esetenként az úgynevezett "Enforced Configuration" lehetőség beállítása is segíthet a károk megelőzésében.
 
  1. 3

    A Cisco IOS XE-hez több patch vált elérhetővé.

  2. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  3. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  4. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  5. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  6. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  7. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  8. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  9. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  10. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség