根據最新消息, KeePass 是一個開源的密碼管理工具,最近有消息稱其存在安全漏洞,用戶在不知道的情況下,攻擊者不用經過用戶的許可就能夠將用戶的整個數據庫以文本的形式進行導出。KeePass 與 LastPass 和 Bitwarden 的雲託管方式相比起來, 它管理數據庫的方式是利用本地存儲的數據庫。
用戶可以使用主密碼對本地數據庫進行加密來達到保護作用。在這種情況下,這樣惡意應用程式以及攻擊者就不能獲取數據庫的資料以及存儲在內的相關密碼。
新漏洞現在被跟蹤為 CVE-2023-24055 。攻擊者獲得目標系統的寫權限後,對 KeePass XML 配置文件進行篡改並註入惡意觸發器,隨後該觸發器將整個數據庫中所有資料以文本的形式導出,裡面包含了全部用戶的用戶名和密碼。
整個導出過程完全在後台完成,不會向受害者發出通知,不需要進行前期的交互以及或受害者輸入主密碼。攻擊者可以悄無聲息的訪問所有存儲的密碼。
在報告並分配了一個 CVE-ID 之後,用戶向 KeePass 背後的開發團隊提了幾點要求:
①在靜默數據庫導出前彈出確認提示
②如果配置文件被惡意篡改之後觸發了數據庫的內容被導出後,需要發出提示
③開發一個不具備數據導出功能的軟件。
KeePass 官方對此進行回應,表示不應該把此問題的原因指向 KeePass 。 KeePass 開發人員解釋道:「擁有對 KeePass 配置文件的寫入權限通常意味著攻擊者實際上可以執行比修改配置文件更強大的攻擊(這些攻擊最終也會影響 KeePass ,獨立於配置文件保護)」。
開發人員繼續說道:「只能通過保持環境安全(通過使用防病毒軟件、防火牆、不打開未知電子郵件附件等)來防止這些攻擊。 KeePass 無法在不安全的環境中神奇地安全運行」 。
