Discussione Come rubare tutte le password da KeyPass? Ma ovvio con la nuova cve

[monnezzza]

KeePass è uno strumento open source gratuito estremamente popolare, considerato uno dei gestori di password più potenti e sicuri fino ad oggi. Tuttavia, una vulnerabilità di recente scoperta potrebbe esporre milioni di utenti al rischio di compromissione.
Come spiegato nella ricerca di Alex Hernandez e dettagliato in un thread dedicato su SourceForge, la vulnerabilità in questione potrebbe consentire a un attaccante con accesso in scrittura al file di configurazione XML di ottenere le password in chiaro aggiungendo un trigger di esportazione. Il PoC exploit per CVE-2023-24055, uno scanner e una lista di esempi di trigger sono stati pubblicati su GitHub di Alex Hernandez.
È importante notare che il fornitore afferma che il database delle password non è destinato a essere sicuro contro un attaccante che ha quel livello di accesso al PC locale. Inoltre, l'elenco delle versioni di KeePass colpite è ancora contestato. Ad oggi, KeePass v2.5x è considerato colpito. Gli utenti sono invitati ad aggiornare alla versione più recente 2.53 per evitare eventuali compromissioni.

 

[JunkCoder]

KeePass è una di quelle cose che si dimentica spesso di aggiornare. Comunque ha ragione a dire che nessun password manager può essere sicuro contro un attaccante che ha già accesso al sistema. Anche senza CVE è sempre possibile carpire la master password da keylogger, le altre dalla clipboard o la master key dalla memoria del processo una volta sbloccato un db. Non è possibile difendersi da un sistema già infetto, per assurdo potrebbe sostituire la shortcut con cui apri keepass e farla puntare ad un fork malevolo che salva una copia della chiave su file, i password manager offrono protezione solo con i dati "a riposo" ovvero impedisce a qualcuno che ottiene il tuo hard disk o il file .kdbx di decifrare senza la password e in questo ci riesce bene.

 

[Il Mercante di Bonus]

Esistono delle ragioni sensate per utilizzare un Password Manager? Perché esporre la propria vita digitale (con tutte le credenziali per l'accesso a profili social, conti bancari ecc.) ad un enorme central point of failure?

 

[JunkCoder]

Esistono delle ragioni sensate per utilizzare un Password Manager? Perché esporre la propria vita digitale (con tutte le credenziali per l'accesso a profili social, conti bancari ecc.) ad un enorme central point of failure?

Meglio riciclare le stesse password ovunque? Io ho appena controllato e nel mio password manager ho quasi 90 account salvati, ognuno dei quali ha password lunghe generate random dal manager stesso. La cosa più importante di tutte è che il database con le password DEVE essere offline, mai fidarsi di vault browser-based, vedi cosa successo a LastPass. La seconda cosa è proteggere il dispositivo con il quale sblocchi il manager inserendo la master password: un malware info stealer nel tuo PC è l'unica cosa che può fregarti. Visto che comunque il rischio non sarà mai 0 con nessuna tecnica, ci sono alcuni account che preferisco ricordare a memoria, oltre la master pass mi riferisco a credenziali della banca, le mie email principali, password dei dischi cifrati... Quindi il perché direi che è questo, limita il numero di account che ti devi ricordare solo a quelli più importanti, il resto è più al sicuro con pass random da 30 caratteri salvata nel manager, perché lo ammetto non sarei mai capace di ricordarmi altre 90 pass da 30 caratteri.

 

[Il Mercante di Bonus]

Meglio riciclare le stesse password ovunque? Io ho appena controllato e nel mio password manager ho quasi 90 account salvati, ognuno dei quali ha password lunghe generate random dal manager stesso. La cosa più importante di tutte è che il database con le password DEVE essere offline, mai fidarsi di vault browser-based, vedi cosa successo a LastPass. La seconda cosa è proteggere il dispositivo con il quale sblocchi il manager inserendo la master password: un malware info stealer nel tuo PC è l'unica cosa che può fregarti. Visto che comunque il rischio non sarà mai 0 con nessuna tecnica, ci sono alcuni account che preferisco ricordare a memoria, oltre la master pass mi riferisco a credenziali della banca, le mie email principali, password dei dischi cifrati... Quindi il perché direi che è questo, limita il numero di account che ti devi ricordare solo a quelli più importanti, il resto è più al sicuro con pass random da 30 caratteri salvata nel manager, perché lo ammetto non sarei mai capace di ricordarmi altre 90 pass da 30 caratteri.

1 click per sbaglio su un file .exe o .pdf con malware e TUTTE le tue password vengono compromesse. L'unica alternativa non è riciclare le stesse password ovunque. C'è sempre il buon vecchio metodo della carta e penna.

 

[hackynonpointer]

1 click per sbaglio su un file .exe o .pdf con malware e TUTTE le tue password vengono compromesse

Se usi XP e PassMan non aggiornati certo.

metodo della carta e penna.

E se usassimo il 100% del nostro cervello?

Salvare le password su carta è da stupidi, come ha detto anche Junk la cosa migliore sono i PasswordManager, scrivi email+nome utente+password da +10 caratteri e simboli speciali per tutti gli account che hai su un pezzo di carta, basta un errore di scrittura e sei fregato, oltre a questo non è sicuro, i cracker non possono attacarti si, ma chiunque entri in casa tua e trova sto foglietto ti ha rovinato la vita, anche perchè non puoi criptare un foglio di carta,.

 

[JunkCoder]

1 click per sbaglio su un file .exe o .pdf con malware e TUTTE le tue password vengono compromesse. L'unica alternativa non è riciclare le stesse password ovunque. C'è sempre il buon vecchio metodo della carta e penna.

Un foglio di carta lo puoi smarrire, e se un ladro ti entra in casa oltre ai cash si frega anche la tua identità e il tuo conto in banca. Senza contare che qualunque ospite, partner, tizio delle pulizie può fare una foto o leggerlo e prendere nota a meno che non vuoi farmi credere che scrivi in codice a penna.
1 click sbagliato su un exe ed hai comunque un enorme problema (non su un PDF, non siamo più con Adobe del 2015), il tuo sistema è compromesso, anche se hai la pass in cassaforte, cifrata con vernam in stile spia sovietica, prima o poi la dovrai inserire in chiaro e un bel keylogger sarà pronto a segnarla. Molto meglio non diventare matti e stare attenti a non cascare sul malware dato che dovresti comunque starci attento.

 

[fennek]

Sempre rilevante.

Un password manager protegge da certi threat (e.g., credential stuffing), ma chiaramente rimane vulnerabile ad altri. Alla fine dipende da quale sia il tuo threat model

 

[Byoniczz]

1 click per sbaglio su un file .exe o .pdf con malware e TUTTE le tue password vengono compromesse. L'unica alternativa non è riciclare le stesse password ovunque. C'è sempre il buon vecchio metodo della carta e penna.

Carta e penna per centinaia di password mi sembra un pochino scomodo

 

[0xbro]

Sto seguendo un po' la vicenda e mi fa sorridere tutto il drama che si sta creando tra devs e ricercatori: i primi non vogliono confermare nè fixare la vuln. mentre i secondi spingono per una patch.

Voi da che lato vi schierate?

Io personalmente appoggio maggiormente il ragionamento dei ricercatori: per me questa è una vulnerabilità e dovrebbe essere fixata. E' vero che se un attaccante ha accesso al tuo pc può fare praticamente quello che vuole, però concentrandoci solo sulle funzionalità del prodotto in sè, questa falla permette di bypassare completamente la logica di protezione del software (cioè mettere una password per decriptare la password). Inoltre vanifica ogni fonte di utilità del tool: KeePass deve proteggere le tue password proprio da un accesso locale, l'attack-surface è proprio quella locale.

A questo punto mi viene un dubbio: se un attaccante riesce a rubare un file kdbx arbitrario da un server, che so, tramite FTP, basta provare a scatenare il trigger sul proprio pc per poter rubare tutte la password?

 

[0xbro]

Oioioi, ho appena scoperto che, molto probabilmente, con lo stesso meccanismo è possibile cambiare arbitrariamente la master password... si tratta delle policy di default impostate da KeePass:

Mi sa che è arrivato il momento di imparare un po' meglio tutte le configurazioni di KeePass

 

[monnezzza]

Oh pazzo questo è molto peggio, segnalalo al team KeyPass e fatti pagare i soldoni

 

[--- Ra ---]

Oh pazzo questo è molto peggio, segnalalo al team KeyPass e fatti pagare i soldoni

Loro lo sanno già, è una delle impostazioni del programma poter cambiare la masterpassword una volta ottenuto l'accesso al password manager. Questo software non offre sicurezza nel caso in cui l'attaccante prenda il controllo del PC della vittima. D'altronde, questo è il caso più critico e irrecuperabile, come ha già fatto presente JunkCoder, non c'è nulla da fare per salvare la macchina compromessa: l'attaccante potrebbe installare qualsivoglia tipo di malware nel sistema. Anch'io sono dalla parte dei ricercatori, questa vulnerabilità andrebbe patchata...avrebbero dovuto pensare anche a delle misure di sicurezza nel caso in cui il dispositivo che utilizza KeyPass venga violato...però comprendo anche la fatica degli sviluppatori per tirare su questo applicativo. In ogni caso, dovrebbero fare una patch e dare un lauto compenso ai ricercatori per aver scovato questa grossa falla.

 

[hackynonpointer]

Smettere di usare KeyPass?

 

[monnezzza]

Meglio

 

[ElectricDreamer]

Vista la pubblicazione di un PoC, e la possibilità che i vari infostealer e malware simili lo implementino, consiglio a tutti di seguire i suggerimenti dei dev sulla così detta "Enforced Configuration" da salvare in C:\Program Files\KeePass Password Safe 2. In questo modo creando un file KeePass.config.enforced.xml obbligherete Keepass ad usare le policy impostate, ad esempio disattivando il cambio della Master Password senza conferma di default, come fatto notare da @0xbro, o anche disattivando il sistema di trigger (https://sourceforge.net/p/keepass/discussion/329220/thread/a146e5cf6b/?page=1#2120). Io per ora l'ho cambiato in questo modo:

<?xml version="1.0" encoding="utf-8"?>
<Configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
    <Application>
        <TriggerSystem>
            <Enabled>false</Enabled>
            <Triggers MergeContentMode="Replace" />
        </TriggerSystem>
    </Application>
    <Security>
        <Policy>
            <Export>false</Export>
            <Print>false</Print>
            <ChangeMasterKey>false</ChangeMasterKey>
        </Policy>
    </Security>
</Configuration>