KeePass update lost eindelijk een controversiële kwetsbaarheid op

Elwin Hodžić
0

Met een nieuwe update heeft Keepass een veelbesproken beveiligingslek verholpen, waardoor het voor hackers niet meer eenvoudig is om wachtwoorden te exporteren uit het systeem.

Wachtwoordbeheerders zoals LastPass en KeePass liggen de laatste tijd vaak onder vuur. Een beveiligingslek in de open-source wachtwoordbeheerder KeePass veroorzaakte vorige week ophef. Hackers met gebruikersrechten binnen het systeem konden de configuratie van KeePass zo aanpassen dat er een platte tekstexport van de database ontstond zonder verdere melding (CVE-2023-24055). De ontwikkelaars van KeePass hebben dit nu verholpen door een update te geven aan hun software.

KeePass update lost eindelijk een controversiële kwetsbaarheid op

Wat levert de update van KeePass op?

In versie 2.53.1 verwijderde KeePass de “Export – No Key Repeat”-richtlijn. Dit houdt in dat gebruikers altijd gevraagd worden om toestemming te geven voor een export van de wachtwoorddatabase. In de KeePass changelog wordt uitgelegd dat gebruikers nu hun hoofdwachtwoord moeten invoeren.

De oorspronkelijke gedachte van KeePass was dat er geen bescherming nodig was voor de wachtwoorddatabase tegen een aanvaller die toegang had tot de lokale computer. De verklaring hiervoor is in principe goed.

De ontwikkelaars van KeePass geven aan dat dit niet echt een ”beveiligingslek” was. Iedereen met lokale toegang heeft meestal volledige toegang tot het gebruikersprofiel en kan veel ingrijpendere aanvallen uitvoeren dan het configuratiebestand aanpassen. Zo kunnen hackers verschillende dingen doen zoals:

  • malware verankeren tijdens het opstarten
  • snelkoppelingen op het bureaublad aanpassen
  • registerwaarden wijzigen
  • configuratiebestanden van andere software wijzigen en er zo bijvoorbeeld voor zorgen dat een webbrowser automatisch een kwaadaardige website opent.

Voor gebruikers van de portable versie kunnen aanvallers met deze rechten toegang krijgen tot de volledige programmadirectory en het KeePass-bestand vervangen door malware.

Aanvallers met dergelijke rechten kunnen ook direct aanvallen uitvoeren op KeePass zonder toegang tot het configuratiebestand. Bijvoorbeeld, als er een Trojaans paard actief is op het systeem, kan dit op vele manieren invloed hebben op de wachtwoordbeheerder en andere software, zoals webbrowsers. Daarom moeten de wachtwoorden in de wachtwoordbeheerder bij een infectie altijd als gecompromitteerd worden beschouwd. Zoals KeePass verklaart: “KeePass kan niet op magische wijze veilig werken in een onveilige omgeving.”

De implementatie van gebruikerswensen

De ontwikkelaar heeft het verzoek van de gebruikers gehonoreerd door de “Export – No Key Repeat”-optie uit de software te verwijderen. Dit betekent dat gebruikers altijd om een wachtwoorddatabase-export gevraagd worden en hun hoofdsleutel moeten invoeren, volgens de KeePass-changelog. De klacht dat een aanvaller met toegangsrechten in het systeem deze optie opnieuw kon inschakelen, is nu irrelevant aangezien het volledig verwijderd is. Dit besluit werd genomen na discussie in het Sourceforge-discussieforum.

De update lost het feitelijke probleem niet op dat bij een trojan-aanval de wachtwoorden van de gebruikers altijd als gecompromitteerd moeten worden beschouwd, ongeacht het gebruik van een wachtwoordbeheerder. Het blijft daarom belangrijk om de wachtwoorden direct te wijzigen na een infectie met malware.


Ontvang gratis informatie en tips over cybersecurity, schrijf je in voor de gratis nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

 

Lees meer over cybersecurity in c't 06/2024

Deel dit artikel

Elwin Hodžić
Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

Windows 11 overzicht: installatie, versies, problemen en meer

Windows 11 is de opvolger van Microsofts Windows 10 besturingssysteem. Je vindt hier alle informatie en antwoorden over deze Windows-versie.

De optimale pc – c’t magazine 03/2023 staat voor je klaar

C't magazine 03/2023 staat voor je klaar. Je kunt de nieuwe editie nu bestellen en lezen.

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er