Разработчики KeePass после многочисленных жалоб пользователей отказались признать существующую уязвимость, которая позволяет злоумышленнику незаметно экспортировать всю базу данных в открытом виде.
Ошибка CVE-2023-24055 (CVSS: 5,5) позволяет киберпреступнику, имеющим доступ к записи в целевой системе, изменять XML-файл конфигурации KeePass и внедрять вредоносный триггер, который экспортирует базу данных, включая все имена пользователей и пароли в открытом виде.
В следующий раз, когда цель запустит KeePass и введет мастер-пароль, сработает правило экспорта, и содержимое базы данных будет сохранено в файле, который хакер сможет позже эксфильтровать на свой сервер. Более того, процесс экспорта запускается в фоновом режиме без уведомления пользователя или запроса KeePass на ввод мастер-пароля в качестве подтверждения перед экспортом, что позволяет злоумышленнику незаметно получить доступ ко всем сохраненным паролям.
Хотя группы CERT Нидерландови Бельгии выпустили рекомендации по безопасности в отношении этой ошибки, команда разработчиков KeePass утверждает , что этот недостаток не является уязвимостью, учитывая, что злоумышленник также может получить доступ к базе данных KeePass другими способами. Стоит отметить, что в справочном центре KeePass проблема ” Write Access to Configuration File ” существует с апреля 2019 года и не считается уязвимостью безопасности KeePass.
Если пользователь установил KeePass как обычную программу и злоумышленники имеют доступ на запись, они также могут “выполнять различного рода атаки”, например, заменить исполняемый файл KeePass вредоносным ПО.
Разработчики KeePass объяснили , что злоумышленник может выполнять гораздо более мощные атаки, чем изменение файла конфигурации (и эти атаки могут также повлиять на KeePass, независимо от защиты файла конфигурации).
По их словам, эти атаки можно предотвратить, только поддерживая безопасность среды (антивирусное ПО, брандмауэр, не открывать неизвестные вложения электронной почты и т. д.). “KeePass не может волшебным образом безопасно работать в небезопасной среде”.
Если разработчики не предоставят исправление проблемы, пользователи могут самостоятельно защитить свою базу данных, войдя в систему как администратор и создав принудительный файл конфигурации , который имеет приоритет над параметрами, включая вредоносные триггеры. Важно отметить, что файл конфигурации должен располагаться в том же каталоге, что и исполняемый файл KeePass – в противном случае, хакер сможет обойти эту защиту.