image

NCSC waarschuwt voor kwetsbaarheid in wachtwoordmanager KeePass

donderdag 26 januari 2023, 16:20 door Redactie, 8 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt voor een kwetsbaarheid in wachtwoordmanager KeePass waardoor een aanvaller die al toegang tot een systeem heeft gegevens in de KeePass-database, zoals wachtwoorden, kan bemachtigen. De ontwikkelaar stelt dat het hier niet om een kwetsbaarheid gaat en de wachtwoorddatabase van KeePass niet ontworpen is om tegen een aanvaller met dergelijke toegang tot het systeem bescherming te bieden. Er zal dan ook geen beveiligingsupdate verschijnen.

Een proof-of-concept exploit waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen is online verschijnen. Het beveiligingslek wordt veroorzaakt doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd.

Volgens het NCSC kunnen systeembeheerders door middel van een Enforced Configuration misbruik toch voorkomen. "Door de parameter "ExportNoKey" op "false" te zetten wordt ervoor gezorgd dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op die manier wordt voorkomen dat een kwaadwillende heimelijk gevoelige gegevens exporteert", aldus het NCSC.

De overheidsinstantie adviseert organisaties om van een Enforced Configuration gebruik te maken en ten minste bovenstaande configuratie te implementeren. Daarnaast wordt organisaties geadviseerd om een risicoafweging te maken voor het gebruik van KeePass. De kwetsbaarheid in KeePass wordt aangeduid als CVE-2023-24055, maar is door de ontwikkelaar betwist.

Reacties (8)
26-01-2023, 17:02 door Anoniem
Nice find tbh. Hier zelf niet bij stilgestaan dat dit een standaard enabled 'feature' was van Keepass. Just patched immidiately...
26-01-2023, 17:23 door Erik van Straten
Sjeemig, heeft het NCSC niks beters te doen?

Ik herhaal uit https://security.nl/posting/783046:
Als een aanvaller schrijftoegang heeft op bestanden (en/of HKCU) van de computergebruiker is het sowieso game over. Effectief betekent dit namelijk dat de aanvaller kan wat die computergebruiker kan.

Wel is het zo dat besturingssystemen en programma's, sinds ik begon met computeren (ca. 45 jaar geleden), qua complexiteit en dus qua aanvalsoppervlak geëxplodeerd zijn. En waar "security" steeds achteraf wordt ingeprakt. Waardoor, als een aanvaller "lokale toegang" heeft gehad, het -zelfs voor experts- nagenoeg onmogelijk is om vast te stellen wat die aanvaller allemaal heeft veranderd en hoe je het systeem weer in betrouwbare staat kunt herstellen.

Deze exploit is het zoveelste druppeltje in een emmer die al heel lang overliep. Leuk voor pentesters maar verder bewijst het niets.

Wel vind ik dit (echt gemeend) sneu voor Dominik Reichl, die zijn uiterste best doet om een zo veilig mogelijke wachtwoordmanager te maken, ondanks tekortkomingen van moderne (schreef ik dat echt? Ik bedoelde op stokoude "legacy" concepten gebaseerde) besturingsystemen met telkens nieuwe "looks" (waardoor startmenu's niet meer werken en ga zo maar door).
26-01-2023, 18:09 door Anoniem
Door Anoniem: Nice find tbh. Hier zelf niet bij stilgestaan dat dit een standaard enabled 'feature' was van Keepass. Just patched immidiately...

Er is geen patch….
26-01-2023, 20:41 door Anoniem
waardoor een aanvaller die al toegang tot een systeem heeft gegevens in de KeePass-database, zoals wachtwoorden, kan bemachtigen.
Ja ik neem deze 'kwetsbaarheid' niet heel erg serieus. En moet de NCSC hier serieus een waarschuwing voor geven?
26-01-2023, 22:30 door Anoniem
Deze is wel degelijk een ding.

Als ik als hacker de pc van zomaar een medewerker voor 5 minuten over kan nemen, dan ga ik bijvoorbeeld naar Y:\servicedesk\keepass en pas daar de config file aan, en wacht tot een van de SD medewerkers die keepass file opent. poof, alle wachtwoorden weg, en elke aanpassing wordt ook netjes weggegeven tot iemand er achter komt.

Als ik als hacker die toegang heb kan ik vermoedelijk ook de kdbx wel stelen, maar zonder het wachtwoord daarvan...
Nee, natuurlijk doet een goed IT bedrijf niet aan deze belachelijke vorm van password management (behalve de helft waar ik gewerkt heb, de andere helft gebruikte excel).

Een systeembeheerder kan dit ook zelf gebruiken om all prive-keepassjes van medewerkers te modden, zodat hij in ieders thuis-dingetjes kan.
27-01-2023, 10:00 door Erik van Straten
Door Anoniem: Als ik als hacker de pc van zomaar een medewerker voor 5 minuten over kan nemen, dan ga ik bijvoorbeeld naar Y:\servicedesk\keepass en pas daar de config file aan, en wacht tot een van de SD medewerkers die keepass file opent. poof, alle wachtwoorden weg, en elke aanpassing wordt ook netjes weggegeven tot iemand er achter komt.
Als ik als hacker de pc van zomaar een medewerker voor 5 minuten over kan nemen, dan kan ik ook een portable versie van AnyDesk o.i.d. op plaatsen en starten (https://security.nl/posting/783004/), (phishing) e-mail namens die persoon verzenden, malware op netwerkshares plaatsen (waar die medewerker toegang tot heeft), snelkoppelingen wijzigen, PATH veranderen, ransomware starten en ga zo maar door.

Door Anoniem: Nee, natuurlijk doet een goed IT bedrijf niet aan deze belachelijke vorm van password management (behalve de helft waar ik gewerkt heb, de andere helft gebruikte excel).
Als dat niet sarcastisch bedoeld is, wat vind je dan wel goed?

Door Anoniem: Een systeembeheerder kan dit ook zelf gebruiken om all prive-keepassjes van medewerkers te modden, zodat hij in ieders thuis-dingetjes kan.
Het is -helaas- een wijdverspreid misverstand dat je systeembeheerders, maar ook hard- en softwareleveranciers, niet voor 100% zou hoeven te vertrouwen - bijvoorbeeld als je ergens een wachtwoord invoert, pr0n kijkt of het personeelsdossier van een beheerder bijwerkt.
27-01-2023, 14:06 door majortom
Door Erik van Straten:
Door Anoniem: Nee, natuurlijk doet een goed IT bedrijf niet aan deze belachelijke vorm van password management (behalve de helft waar ik gewerkt heb, de andere helft gebruikte excel).
Als dat niet sarcastisch bedoeld is, wat vind je dan wel goed?
In een enterprise omgeving verwacht ik minimaal een PAM oplossing als CyberArk of Thycotic oid.
31-01-2023, 12:53 door Anoniem
Door Erik van Straten:

Door Anoniem: Nee, natuurlijk doet een goed IT bedrijf niet aan deze belachelijke vorm van password management (behalve de helft waar ik gewerkt heb, de andere helft gebruikte excel).
Als dat niet sarcastisch bedoeld is, wat vind je dan wel goed?
Kijk eens naar pleasant password server. een lokaal te hosten webbased server die ook keepass als client kan gebruiken, zodat verstokte keepass-beheerders niet uit hun comfort zone hoeven te stappen.
Keepass client op een read-only plekje zetten, koppelen aan de server, en alle credentials waar een medewerker gebruik van maakt worden gevlagd, zodat je niet meteen 3000 credentials hoeft te resetten als iemand uit dienst gaat.

als je met heel de afdeling een grote keepass kdbx gebruikt, en een van de beheerders gaat uit dienst, moet dat eigenlijk wel he... :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.