Açık kaynaklı şifre yöneticisi KeePass, kullanıcı şifre kasalarına gereksiz erişime izin veren büyük bir güvenlik açığı olduğu iddialarını yalanladı.
KeePass, bir iş şifre yöneticisi olmaktan ziyade öncelikle bireysel kullanım için tasarlanmıştır. Veritabanını bulut sunucularında saklamaması nedeniyle birçok popüler şifre yöneticisinden farklıdır; bunun yerine, bunları kullanıcının cihazında yerel olarak depolar.
olarak bilinen yeni keşfedilen güvenlik açığı CVE-2023-24055 (yeni sekmede açılır)bir kullanıcının sistemine zaten erişim kazanmış olan bilgisayar korsanlarının, bir XML yapılandırma dosyasını değiştirerek tüm kullanıcı adlarını ve parolalarını tamamen açığa çıkararak kasalarının tamamını düz metin olarak dışa aktarmalarına olanak tanır.
bizim sorunumuz değil
Kurban, KeePass’i açıp kasasına erişmek için ana parolasını girdiğinde, bu, veritabanının bilgisayar korsanlarının çalabileceği bir dosyaya aktarılmasını tetikler. İşlem, KeePass’a veya işletim sisteminize bildirimde bulunmadan arka planda sessizce işine devam eder, bu nedenle herhangi bir doğrulama veya kimlik doğrulama gerekmez, bu da kurbanı daha akıllı yapmaz.
Kullanıcılar bir Sourceforge forumu (yeni sekmede açılır) KeePass’tan, dışa aktarmanın gerçekleşmesine izin verilmeden önce ana parolalarının girilmesi gerekliliğini uygulamasını veya dışa aktarma özelliğini varsayılan olarak devre dışı bırakmasını ve yeniden etkinleştirmek için ana parolayı gerektirmesini istediler.
Bu güvenlik açığının uygulanabilir bir istismarı zaten çevrimiçi olarak paylaşılmıştır, bu nedenle kötü amaçlı yazılım geliştiricileri tarafından daha da geliştirilip yaygınlaştırılması an meselesidir.
KeePass’ın argümanı, CVE-2023-24055 güvenlik açığının varlığını reddetmemekle birlikte, halihazırda sisteminizin kontrolünü elinde bulunduran tehdit aktörlerine karşı koruma sağlayamayacağıdır. Bir kullanıcının sistemine yazma erişimi olan tehdit aktörlerinin, engelleyemediği her türlü yolla şifre kasalarını çalabileceklerini söylediler.
Nisan 2019’da “yapılandırma dosyasına yazma erişimi” sorunu olarak tanımlanmıştı ve KeePass, bunun şifre yöneticisinin kendisiyle ilgili bir güvenlik açığı olmadığını iddia etmişti.
Geliştiriciler, “KeePass yapılandırma dosyasına yazma erişimine sahip olmak, tipik olarak bir saldırganın yapılandırma dosyasını değiştirmekten çok daha güçlü saldırılar gerçekleştirebileceği anlamına gelir (ve bu saldırılar sonunda bir yapılandırma dosyası korumasından bağımsız olarak KeePass’ı da etkileyebilir)” dedi. .
“Bu saldırılar ancak ortamın güvenliği sağlanarak (anti-virüs yazılımı, güvenlik duvarı kullanılarak, bilinmeyen e-posta eklerinin açılmaması vb.) önlenebilir. KeePass, güvenli olmayan bir ortamda sihirli bir şekilde güvenli bir şekilde çalışamaz” diye eklediler.
KeePass, XML dosyasının izinsiz olarak dışa aktarılmasını önlemek için herhangi bir ek koruma eklemeye istekli olmasa da, kullanıcıların deneyebileceği bir geçici çözüm vardır. Bunun yerine bir kullanıcı yöneticisi olarak oturum açarlarsa, dışa aktarımın tetiklenmesini önleyen zorunlu bir yapılandırma dosyası oluşturabilirler. Yönetici hesabını etkinleştirmeden önce başka hiç kimsenin KeePass dosya ve dizinlerine yazma erişimi olmadığından emin olmaları gerekir.
Bununla birlikte, saldırganlar, KeePass çalıştırılabilir dosyasının bir kopyasını, zorunlu yapılandırma dosyasının depolandığı yerden ayrı başka bir dizinde çalıştırabileceğinden, bu bile kusursuz değildir; başka bir yerde saklanır, [therefore] hiçbir ayar uygulanmaz.”
- Sisteminizi sıkı bir şekilde kilitlemek mi istiyorsunuz? O zaman en iyi güvenlik anahtarlarını kullanmayı düşünmelisiniz.