NCSC waarschuwt voor gat in KeePass

De kwetsbaarheid - gevolgd onder CVE-2023-24055 - is ontstaan doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een aanvaller kan deze configuratie dus aanpassen en zo ook een malafide exportregel toevoegen, aldus het NCSC in een beveiligingswaarschuwing. Wordt de database dan geopend, dan kan de exportregel ervoor zorgen dat de gegevens naar een kwaadwillende wordt geëxporteerd. Daarmee worden wachtwoorden in potentie als plaintext gelekt.

Voor deze kwetsbaarheid is ook al proof-of-concept-code publiekelijk beschikbaar. De kans op misbruik wordt echter slechts als 'medium' ingeschat, omdat een aanvaller hiervoor wel eerst vrije toegang moet hebben tot de computer in kwestie. In tegenstelling tot veel andere wachtwoordmanagers is KeePass namelijk niet cloudgebaseerd, maar losstaande software die lokaal op de computer staat, al is het ook mogelijk om het zelf in een clouddienst te hosten.  

KeePass dicht gat niet

KeePass zegt bij de CVE-melding dat het geen stappen gaat nemen om het probleem op te lossen. Het standpunt van de ontwikkelaar is dat er geen redelijke manier is om diefstal van opgeslagen gegevens te voorkomen als een aanvaller toegang heeft tot het systeem van het slachtoffer.

Toch biedt KeePass systeembeheerders wel de mogelijkheid om misbruik te voorkomen. Door in de zogenaamde Enforced Configuration File de parameter "ExportNoKey" op "false" te zetten, wordt het vereist om het masterwachtwoord in te voeren voor er gegevens geëxporteerd kunnen worden. Naast toegang tot de computer zelf, heeft een aanvaller dan dus ook dat wachtwoord nodig om de kwetsbaarheid te kunnen misbruiken.

Het NCSC adviseert dan ook om deze configuratie te implementeren. Ook wordt organisaties aangeraden om een risico-afweging te maken voor het gebruik van KeePass en om een oog te houden op andere geïmplementeerde beveiligingsmaatregelen, zoals full-disk encryptie, multi-factor authenticatie en antivirusmaatregelen.