KeePass爆安全漏洞:允许攻击者以明文形式导出整个数据库与LastPass和Bitwarden的云托管方式相比,开源密码管理工具KeePass主要使用本地存储的数据库来管理数据库。为了保护这些本地数据库,用户可以使用主密码对其进行加密。这可以防止恶意软件或威胁行为者窃取数据库并访问存储在那里的相关密码。新漏洞现在被跟踪为CVE-2023-24055。在获得对目标系统的写入权限后,攻击者更改KeePassXML配置文件并注入恶意触发器,然后以明文形式导出包含所有用户名和密码的数据库。整个导出过程完全在后台完成,没有通知受害者,没有预先交互,也不需要受害者输入主密码,让威胁者可以悄悄地访问所有存储的密码。在报告并分配CVE-ID后,用户要求KeePass背后的开发团队在静默数据库导出之前添加确认提示,在恶意修改配置文件触发导出后要求提示,或者提供没有导出的应用程序功能程序版本。KeePass官方回应称,问题不应归咎于KeePass。“拥有对KeePass配置文件的写入权限通常意味着攻击者实际上可以执行比修改配置文件更强大的攻击(最终也会影响KeePass,独立于配置文件保护),”KeePass开发人员解释道。开发人员继续说道:“只能通过保持环境安全(通过使用防病毒软件、防火墙、不打开未知电子邮件附件等)来防止这些攻击。KeePass无法在不安全的环境中神奇地安全运行”。
