KeePass update lost eindelijk een controversiële kwetsbaarheid op

Met een nieuwe update heeft Keepass een veelbesproken beveiligingslek verholpen, waardoor het voor hackers niet meer eenvoudig is om wachtwoorden te exporteren uit het systeem.

Wachtwoordbeheerders zoals LastPass en KeePass liggen de laatste tijd vaak onder vuur. Een beveiligingslek in de open-source wachtwoordbeheerder KeePass veroorzaakte vorige week ophef. Hackers met gebruikersrechten binnen het systeem konden de configuratie van KeePass zo aanpassen dat er een platte tekstexport van de database ontstond zonder verdere melding (CVE-2023-24055). De ontwikkelaars van KeePass hebben dit nu verholpen door een update te geven aan hun software.

In versie 2.53.1 verwijderde KeePass de “Export – No Key Repeat”-richtlijn. Dit houdt in dat gebruikers altijd gevraagd worden om toestemming te geven voor een export van de wachtwoorddatabase. In de KeePass changelog wordt uitgelegd dat gebruikers nu hun hoofdwachtwoord moeten invoeren.

De oorspronkelijke gedachte van KeePass was dat er geen bescherming nodig was voor de wachtwoorddatabase tegen een aanvaller die toegang had tot de lokale computer. De verklaring hiervoor is in principe goed.

De ontwikkelaars van KeePass geven aan dat dit niet echt een ”beveiligingslek” was. Iedereen met lokale toegang heeft meestal volledige toegang tot het gebruikersprofiel en kan veel ingrijpendere aanvallen uitvoeren dan het configuratiebestand aanpassen. Zo kunnen hackers verschillende dingen doen zoals:

Voor gebruikers van de portable versie kunnen aanvallers met deze rechten toegang krijgen tot de volledige programmadirectory en het KeePass-bestand vervangen door malware.

Aanvallers met dergelijke rechten kunnen ook direct aanvallen uitvoeren op KeePass zonder toegang tot het configuratiebestand. Bijvoorbeeld, als er een Trojaans paard actief is op het systeem, kan dit op vele manieren invloed hebben op de wachtwoordbeheerder en andere software, zoals webbrowsers. Daarom moeten de wachtwoorden in de wachtwoordbeheerder bij een infectie altijd als gecompromitteerd worden beschouwd. Zoals KeePass verklaart: “KeePass kan niet op magische wijze veilig werken in een onveilige omgeving.”

De ontwikkelaar heeft het verzoek van de gebruikers gehonoreerd door de “Export – No Key Repeat”-optie uit de software te verwijderen. Dit betekent dat gebruikers altijd om een wachtwoorddatabase-export gevraagd worden en hun hoofdsleutel moeten invoeren, volgens de KeePass-changelog. De klacht dat een aanvaller met toegangsrechten in het systeem deze optie opnieuw kon inschakelen, is nu irrelevant aangezien het volledig verwijderd is. Dit besluit werd genomen na discussie in het Sourceforge-discussieforum.

De update lost het feitelijke probleem niet op dat bij een trojan-aanval de wachtwoorden van de gebruikers altijd als gecompromitteerd moeten worden beschouwd, ongeacht het gebruik van een wachtwoordbeheerder. Het blijft daarom belangrijk om de wachtwoorden direct te wijzigen na een infectie met malware.

Ontvang gratis informatie en tips over cybersecurity, schrijf je in voor de gratis nieuwsbrief: