Лучший менеджер паролей отрицает, что вся его база данных может быть украдена
1 февраля 2023 г.менеджер паролей с открытым исходным кодом KeePass опровергает утверждения о серьезной уязвимости в системе безопасности, позволяющей получить несанкционированный доступ к хранилищам паролей пользователей. .
KeePass предназначен в первую очередь для индивидуального использования, а не как менеджер корпоративных паролей. Он отличается от многих популярных менеджеров паролей тем, что не хранит свою базу данных на облачных серверах; вместо этого он сохраняет их локально на устройстве пользователя.
Недавно обнаруженная уязвимость, известная как CVE-2023-24055< /a>, позволяет хакерам, которые уже получили доступ к системе пользователя, экспортировать все свое хранилище в виде простого текста, изменяя файл конфигурации XML, полностью раскрывая все свои имена пользователей и пароли.
Когда жертва открывает KeePass и вводит свой мастер-пароль для доступа к своему хранилищу, это инициирует экспорт базы данных в файл, который хакеры могут украсть. Процесс тихо работает в фоновом режиме, не уведомляя KeePass или вашу операционную систему, поэтому не требуется проверка или аутентификация, что оставляет жертву в неведении. Пользователи на форуме Sourceforge задали вопрос KeePass реализовать требование ввода мастер-пароля до того, как будет разрешен экспорт, или отключить функцию экспорта по умолчанию и потребовать мастер-пароль для ее повторного включения. Работоспособный эксплойт этой уязвимости уже был опубликован в Интернете, поэтому это только вопрос времени, когда он будет доработан вредоносным ПО. разработчиков и получил широкое распространение. Не отрицая существования уязвимости CVE-2023-24055, KeePass утверждает, что она не может защитить от злоумышленников, которые уже контролируют вашу систему. Они заявили, что злоумышленники, имеющие доступ для записи в систему пользователя, могут украсть их хранилище паролей с помощью всевозможных средств, которые они не могут предотвратить. Это было описано как «доступ на запись к файлу конфигурации». проблема еще в апреле 2019 года, и KeePass утверждает, что это не уязвимость, относящаяся к самому диспетчеру паролей.
> Bitwarden и KeePass: сравнение функций Разработчики заявили, что «имея доступ для записи к конфигурационному файлу KeePass, как правило, подразумевает, что злоумышленник может выполнять гораздо более мощные атаки, чем изменение конфигурационного файла (и эти атаки, в конце концов, также могут повлиять на KeePass, независимо от защиты конфигурационного файла)». . «Эти атаки можно предотвратить, только поддерживая безопасность среды (используя антивирусное программное обеспечение, брандмауэр, не открывая неизвестные вложения электронной почты и т. д.). KeePass не может волшебным образом безопасно работать в небезопасной среде», — добавили они. Хотя KeePass не хочет добавлять какие-либо дополнительные средства защиты для предотвращения несанкционированного экспорта XML-файла, пользователи могут попробовать обходной путь. Если вместо этого они войдут в систему как пользователь-администратор, они смогут создать принудительный файл конфигурации, который предотвратит запуск экспорта. Прежде чем активировать учетную запись администратора, они должны убедиться, что никто другой не имеет прав на запись в файлы и каталоги KeePass. Однако даже это не является надежным, поскольку злоумышленники могут запустить копию исполняемого файла KeePass в другом каталоге, отдельном от того, где хранится принудительный файл конфигурации, а это означает, что, согласно KeePass, «эта копия не знает принудительный файл конфигурации, который хранится в другом месте, [поэтому] никакие настройки не применяются».
Не наша проблема
> Основные проблемы безопасности можно найти в популярных менеджерах паролей
> Это лучшие бесплатные менеджеры паролей
.
Оригинал