2min

Het KeePass-team, dat de populaire open-source software voor wachtwoordbeheer ontwikkelt, betwist een recente ontdekking van een kwetsbaarheid in hun software. Volgens het rapport over de kwetsbaarheid is het mogelijk om wachtwoorden te stelen door misbruik te maken van deze kwetsbaarheid.

KeePass helpt gebruikers hun wachtwoorden op te slaan in een lokaal opgeslagen database die kan worden versleuteld met behulp van een hoofdwachtwoord om diefstal door malware of cybercriminelen te voorkomen. De nieuwe kwetsbaarheid, CVE-2023-24055, stelt aanvallers met schrijftoegang in staat het KeePass XML-configuratiebestand te wijzigen en een export van de gehele database in platte tekst te maken.

Luister ook: Gaan passkeys het wachtwoord uitroeien?

Wat is de vermeende kwetsbaarheid?

De export gebeurt op de achtergrond zonder enige kennisgeving aan de gebruiker en wordt geactiveerd de eerste volgende keer dat de database wordt gedecodeerd met behulp van het hoofdwachtwoord. Dit heeft ertoe geleid dat gebruikers het KeePass-team hebben gevraagd om ofwel een bevestigingsprompt toe te voegen vóór de export, ofwel een versie van de app te leveren die de exportfunctie niet heeft.

Het KeePass-team betwist deze ontdekking als een kwetsbaarheid en stelt dat aanvallers met schrijftoegang tot het apparaat van een doelwit de informatie in de KeePass-database al op andere manieren kunnen verkrijgen. Het team heeft aanbevolen de omgeving veilig te houden, zoals het gebruik van antivirussoftware en firewalls, om dergelijke aanvallen te voorkomen.

KeePass zegt dat gebruikers stappen kunnen ondernemen om zichzelf te beschermen

Stel dat gebruikers toch hun databases willen beveiligen. In dat geval kunnen ze als systeembeheerder een afgedwongen configuratiebestand aanmaken en ervoor zorgen dat reguliere gebruikers geen schrijftoegang hebben tot bestanden/mappen in de app-directory van KeePass.

Het KeePass team waarschuwt echter dat een afgedwongen configuratiebestand alleen van toepassing is op het KeePass programma in dezelfde directory. Het wordt niet afgedwongen als de gebruiker een andere kopie van KeePass uitvoert zonder het bestand.

Het KeePass-team stelt dat deze ontdekking niet als een kwetsbaarheid moet worden aangemerkt. Gebruikers kunnen echter nog steeds stappen ondernemen om hun databases te beveiligen door een afgedwongen configuratiebestand aan te maken en hun omgeving veilig te houden.

Tip: 1Password gaat wachtwoordloos inloggen aanbieden vanaf 2023