KeePass è un password manager open source che conserva localmente il database protetto dalla master key. Da alcuni giorni è stata avviata una discussione sulla vulnerabilità CVE-2023-24055 che permetterebbe di esportare il database delle password in chiaro. Secondo il team di sviluppo non si tratta di un bug del software.
KeePass: file di configurazione e trigger
La vulnerabilità CVE-2023-24055 potrebbe essere sfruttata per accedere in scrittura al file di configurazione XML di KeePass e ottenere le password in chiaro, aggiungendo un trigger di esportazione.
Un malintenzionato potrebbe ad esempio aggiungere un trigger che prevede la copia delle password quando viene aperto il database. In questo caso, i dati sensibili vengono salvati in un file che verrà successivamente esfiltrato dal computer. La procedura viene eseguita in background, quindi gli utenti non si accorgono di nulla.
Alcuni suggeriscono di attivare l’opzione che consente l’esportazione solo dopo aver inserito la master key. Tuttavia, un cybercriminale che può accedere al computer può anche disattivare questa opzione. Il team di sviluppo ritiene però che non si tratti di una vulnerabilità, come specificato nella pagina relativa ai problemi di sicurezza.
Un malintenzionato che riesce ad accedere al computer può anche sostituire l’eseguibile KeePass.exe
con un malware e in generale eseguire attacchi più potenti rispetto alla semplice modifica del file di configurazione. Gli sviluppatori di KeePass consigliano quindi di impedire l’accesso al computer usando un antivirus o un firewall.