На прошлой неделе в сети распространилась информация об уязвимости в KeePass, которой был присвоен номер CVE-2023-24055. Как сообщила Федеральная группа реагирования на чрезвычайные ситуации в области кибербезопасности Бельгии, проблема заключалась в триггерном механизме приложения.
Используя определенный триггер, злоумышленник может экспортировать всю базу паролей в другой файл. Основная проблема, заключается в том, что KeePass не запрашивал у пользователя мастер-пароль, прежде чем разрешить экспорт паролей.
Команда KeePass пыталась оспорить уязвимость, заявив, что злоумышленникам необходимы повышенные привилегии для записи в систему и что такой доступ предоставит еще больше возможностей для злонамеренных действий, включая замену исполняемого файла KeePass, запуск вредоносных программ или изменение автозапуска и конфигураций в системе.
Ведущий разработчик KeePass Доминик Райхл (Dominik Reichl) предложил пользователям создать принудительный файл конфигурации, чтобы заблокировать функциональность триггера. Однако злоумышленник с доступом для записи может изменить этот файл конфигурации, так что это не решит основную проблему.
Если пользователи соблюдают осторожность, а система защищена современным антивирусом и брандмауэром, то данный тип атак можно полностью предотвратить.
У пользователей KeePass было несколько вариантов решения проблемы. Можно было переключиться на устаревшую версию менеджера паролей KeePass 1.x, которая до сих пор активно поддерживается. В ней отсутствуют некоторые функции, в числе том уязвимый триггерный механизм. Другие варианты включали миграцию на портированные версии KeePass. Преимущество такого подхода заключается в том, что поддерживается формат базы данных паролей.
KeePass 2.53.1: уязвимость исправлена
В обновлении KeePass 2.53.1 проблема была исправлена. В официальных заметках к выпуску сообщается: «Удален флаг политики приложения «Экспорт — без запроса ключа», теперь KeePass всегда запрашивает текущий мастер-ключ при попытке экспортировать данные».
Другими словами, KeePass теперь всегда будет запрашивать у пользователя подтверждение перед операциями экспорта данных. Подтвердить операцию можно с помощью мастер-пароля, который необходимо ввести перед началом экспорта данных.
Вероятнее всего, именно активные обсуждения и споры привели к выходу этого патча. Райхл, возможно, не изменил своего первоначального мнения о том, что уязвимость как таковая отсутствует, но он отреагировал на обеспокоенность общественности и внес изменения в приложение, чтобы устранить эти опасения.
Статистика использования триггеров недоступна — скорее всего, данной функциональностью пользуется небольшое количество пользователей KeePass. Еще меньше пользователей используют триггер экспорта пароля.
Пользователям KeePass рекомендуется обновиться до версии 2.53.1, чтобы защитить свои пароли от автоматического экспорта. Также следует проверить настройки безопасности KeePass, чтобы убедиться, что база данных должным образом защищена от атак грубой силы.
Обновления программ, что нового
• Новая бета-версия Steam: Управление обновлениями игр и обновлённый стиль загрузчика
• Cloudflare: Масштабный анализ интернета за 2024 год
• Яндекс представил смарт-функции для ТВ Станций с Алисой – на основе нейросети YandexGPT
• Яндекс выпустил YaC 2024 – ежегодный рассказ о технологиях и сервисах
• Релиз iOS 18.2: Новые ИИ-функции Apple Intelligence, обновление встроенных приложений и другие улучшения
• «Сбер» представил смарт-кольцо Sber с искусственным интеллектом на базе нейросети GigaChat MAX