NCSC waarschuwt voor kwetsbaarheid in wachtwoordmanager KeePass
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid waarschuwt voor een kwetsbaarheid in wachtwoordmanager KeePass waardoor een aanvaller die al toegang tot een systeem heeft gegevens in de KeePass-database, zoals wachtwoorden, kan bemachtigen. De ontwikkelaar stelt dat het hier niet om een kwetsbaarheid gaat en de wachtwoorddatabase van KeePass niet ontworpen is om tegen een aanvaller met dergelijke toegang tot het systeem bescherming te bieden. Er zal dan ook geen beveiligingsupdate verschijnen.
Een proof-of-concept exploit waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen is online verschijnen. Het beveiligingslek wordt veroorzaakt doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd.
Volgens het NCSC kunnen systeembeheerders door middel van een Enforced Configuration misbruik toch voorkomen. "Door de parameter "ExportNoKey" op "false" te zetten wordt ervoor gezorgd dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op die manier wordt voorkomen dat een kwaadwillende heimelijk gevoelige gegevens exporteert", aldus het NCSC.
De overheidsinstantie adviseert organisaties om van een Enforced Configuration gebruik te maken en ten minste bovenstaande configuratie te implementeren. Daarnaast wordt organisaties geadviseerd om een risicoafweging te maken voor het gebruik van KeePass. De kwetsbaarheid in KeePass wordt aangeduid als CVE-2023-24055, maar is door de ontwikkelaar betwist.
Ik herhaal uit https://security.nl/posting/783046:
Wel is het zo dat besturingssystemen en programma's, sinds ik begon met computeren (ca. 45 jaar geleden), qua complexiteit en dus qua aanvalsoppervlak geëxplodeerd zijn. En waar "security" steeds achteraf wordt ingeprakt. Waardoor, als een aanvaller "lokale toegang" heeft gehad, het -zelfs voor experts- nagenoeg onmogelijk is om vast te stellen wat die aanvaller allemaal heeft veranderd en hoe je het systeem weer in betrouwbare staat kunt herstellen.
Deze exploit is het zoveelste druppeltje in een emmer die al heel lang overliep. Leuk voor pentesters maar verder bewijst het niets.
Wel vind ik dit (echt gemeend) sneu voor Dominik Reichl, die zijn uiterste best doet om een zo veilig mogelijke wachtwoordmanager te maken, ondanks tekortkomingen van moderne (schreef ik dat echt? Ik bedoelde op stokoude "legacy" concepten gebaseerde) besturingsystemen met telkens nieuwe "looks" (waardoor startmenu's niet meer werken en ga zo maar door).
Er is geen patch….
Als ik als hacker de pc van zomaar een medewerker voor 5 minuten over kan nemen, dan ga ik bijvoorbeeld naar Y:\servicedesk\keepass en pas daar de config file aan, en wacht tot een van de SD medewerkers die keepass file opent. poof, alle wachtwoorden weg, en elke aanpassing wordt ook netjes weggegeven tot iemand er achter komt.
Als ik als hacker die toegang heb kan ik vermoedelijk ook de kdbx wel stelen, maar zonder het wachtwoord daarvan...
Nee, natuurlijk doet een goed IT bedrijf niet aan deze belachelijke vorm van password management (behalve de helft waar ik gewerkt heb, de andere helft gebruikte excel).
Een systeembeheerder kan dit ook zelf gebruiken om all prive-keepassjes van medewerkers te modden, zodat hij in ieders thuis-dingetjes kan.
Keepass client op een read-only plekje zetten, koppelen aan de server, en alle credentials waar een medewerker gebruik van maakt worden gevlagd, zodat je niet meteen 3000 credentials hoeft te resetten als iemand uit dienst gaat.
als je met heel de afdeling een grote keepass kdbx gebruikt, en een van de beheerders gaat uit dienst, moet dat eigenlijk wel he... :-)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
No more ransomware! De nieuwe Ransomware Awareness Experience training biedt een realistische maar ook leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer wordt van ransomware en leren meteen hoe een besmetting kan worden voorkomen! Zoals altijd met realistische scenario's en actuele voorbeelden.
Stageplaats Grafisch Vormgever / Game artist
Als stagiair Grafisch Vormgever / Game Artist bij Certified Secure maak je deel uit van een hecht team met als motto: Security is serious fun! Je mag creatief losgaan in offline en online promotiemateriaal en je krijgt de kans mee te werken aan onze online gamified IT-Security challenges!
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?