Этот огромный эксплойт менеджера паролей может никогда не быть исправлен

31 января, 2023 Дядя Влад

Это были плохие несколько месяцев для менеджеров паролей — хотя в основном только для LastPass. Но после того, как стало известно, что LastPass подвергся серьезной уязвимости , внимание теперь переключилось на менеджер с открытым исходным кодом KeePass.

Звучали обвинения в том, что новая уязвимость позволяет хакерам тайно украсть всю базу паролей пользователя в незашифрованном виде. Это невероятно серьезное утверждение, но разработчики KeePass оспаривают его.

На большом мониторе отображается предупреждение о взломе системы безопасности. — Фондовый склад / Getty Images

KeePass — это менеджер паролей с открытым исходным кодом, который хранит свое содержимое на устройстве пользователя, а не в облаке, как конкурирующие предложения. Однако, как и многие другие приложения, его хранилище паролей можно защитить мастер-паролем.

Уязвимость, зарегистрированная как CVE-2023-24055 , доступна любому, у кого есть права на запись в систему пользователя. Как только это будет получено, злоумышленник может добавить команды в XML-файл конфигурации KeePass, которые автоматически экспортируют базу данных приложения, включая все имена пользователей и пароли, в незашифрованный текстовый файл.

Благодаря изменениям, внесенным в файл XML, весь процесс выполняется автоматически в фоновом режиме, поэтому пользователи не получают предупреждений о том, что их база данных была экспортирована. Затем злоумышленник может извлечь экспортированную базу данных на компьютер или сервер, которым он управляет.

Это не будет исправлено

Изображение хакера, взломавшего систему с помощью кода. — Гетти Изображений

Однако разработчики KeePass оспаривают классификацию процесса как уязвимости, поскольку любой, кто имеет доступ на запись к устройству, может получить доступ к базе паролей другими (иногда более простыми) способами.

Другими словами, когда кто-то получает доступ к вашему устройству, такой эксплойт XML становится излишним. Например, злоумышленники могут установить кейлоггер, чтобы получить мастер-пароль. Логика рассуждений состоит в том, что беспокоиться о таком нападении — все равно, что захлопнуть дверь после того, как лошадь убежала. Если злоумышленник имеет доступ к вашему компьютеру, исправление эксплойта XML не поможет.

Разработчики утверждают, что решение заключается в «поддержании безопасности среды (используя антивирусное программное обеспечение, брандмауэр, не открывая неизвестные вложения электронной почты и т. д.). KeePass не может волшебным образом безопасно работать в небезопасной среде».

Что ты можешь сделать?

изображение образа жизни менеджера паролей

Хотя разработчики KeePass, похоже, не хотят решать проблему, есть шаги, которые вы можете предпринять самостоятельно. Лучше всего создать принудительный файл конфигурации . Это будет иметь приоритет над другими файлами конфигурации, смягчая любые вредоносные изменения, сделанные внешними силами (например, используемые в уязвимости экспорта базы данных).

Вам также необходимо убедиться, что у обычных пользователей нет доступа для записи к каким-либо важным файлам или папкам, содержащимся в каталоге KeePass, и что файл KeePass .exe и принудительный файл конфигурации находятся в одной папке.

И если вам неудобно продолжать использовать KeePass, есть множество других вариантов. Попробуйте переключиться на один из лучших менеджеров паролей , чтобы ваши логины и данные кредитной карты были в большей безопасности, чем когда-либо.

Хотя это, несомненно, более плохие новости для мира менеджеров паролей, эти приложения все же стоит использовать. Они могут помочь вам создать надежные уникальные пароли , которые зашифрованы на всех ваших устройствах. Это намного безопаснее, чем использовать «123456» для каждой учетной записи .