-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.01 #############################
Titel : Kwetsbaarheid aangetroffen in KeePass
Advisory ID : NCSC-2023-0044
Versie : 1.01
Kans : medium
CVE ID : CVE-2023-24055
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Toegang tot gevoelige gegevens
Uitgiftedatum : 20230210
Toepassing : KeePass
Versie(s) : < 2.53
Platform(s) :
Update
De ontwikkelaars van Keepass hebben een nieuwe versie gepubliceerd.
De door de ontwikkelaar geadviseerde instelling om altijd om het
Master Password te vragen bij een export is de standaardinstelling
geworden.
Beschrijving
Er is een kwetsbaarheid aangetroffen in KeePass. Een kwaadwillende
kan de kwetsbaarheid mogelijk misbruiken voor het verkrijgen van
toegang tot gegevens die in een KeePass-database zijn opgeslagen.
Het gaat hierbij bijvoorbeeld om gebruikersnamen, wachtwoorden en
e-mailadressen. Succesvol misbruik vereist dat de kwaadwillende
toegang heeft tot het systeem waarop KeePass is geïnstalleerd.
De kwetsbaarheid wordt veroorzaakt doordat de configuratie van
KeePass onversleuteld wordt opgeslagen. Een lokale kwaadwillende kan
deze configuratie aanpassen en een malafide exportregel toevoegen.
Wanneer een gebruiker een KeePass-database opent, zorgt de
exportregel ervoor dat opgeslagen gegevens naar de kwaadwillende
worden geëxporteerd.
Voor de kwetsbaarheid is een proof-of-concept publiek beschikbaar.
Mogelijke oplossingen
De ontwikkelaar van KeePass heeft Keepass 2.53.1 uitgebracht, waarin
de kwetsbaarheid wordt verholpen door het verwijderen van de
gewraakte policy. Bij exporteren van opgeslagen gegevens wordt
altijd om een Master Password gevraagd.
Het NCSC adviseert om te upgraden naar de laatste versie. Indien
upgraden (nog) niet mogelijk is, blijft onderstaande workaround
beschikbaar.
Voor meer informatie zie:
https://keepass.info/news/n230109_2.53.html
KeePass biedt systeembeheerders de workaround voor oudere versies om
misbruik te voorkomen door bepaalde configuraties af te dwingen. Het
afdwingen van een configuratie vindt plaats via een zogenaamd
Enforced Configuration File. Door de parameter "ExportNoKey" op
"false" te zetten wordt ervoor gezorgd dat een masterwachtwoord is
vereist voor het exporteren van opgeslagen gegevens. Op die manier
wordt voorkomen dat een kwaadwillende heimelijk gevoelige gegevens
exporteert. Zie de volgende pagina's voor meer informatie:
https://sourceforge.net/p/keepass/discussion/329220/thread
/a146e5cf6b/?page=1&limit=25#73e4
https://keepass.info/help/kb/config_enf.html
Het NCSC adviseert organisaties om te upgraden naar de nieuwste
versie. En indien dit (nog) niet mogelijk is om van een Enforced
Configuration gebruik te maken en ten minste bovenstaande
configuratie te implementeren. Daarnaast wordt organisaties
geadviseerd om een risico-afweging te maken voor het gebruik van
KeeePass. Houdt daarbij oog voor andere beveiligingsmaatregelen die
zijn geïmplementeerd, zoals full-disk encryption, multi-factor
authenticatie, antivirusmaatregelen en spamfilters.
Meer achtergrondinformatie over de beveiligingsfunctionaliteiten van
KeePass en een toelichting van de ontwikkelaar zijn te vinden op de
volgende pagina's:
https://keepass.info/help/kb/sec_issues.html#cfgw
https://keepass.info/help/base/security.html#secspecattacks
https://sourceforge.net/p/keepass/discussion/329220/thread
/a146e5cf6b/
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
wsDVAwUBY+ZcQ/4Vd0fJc7lbAQo+CAwAj3xRBEyAg4j1lIeUnRChRFl39zVtqr0s
itYNvweGHK5DvPEoZJ2h/CrIZnZovJVrFJ3a1YP77t9lYlpcfKRDogV92fnbajUj
ioaTNhK0LTGbX7VEfWblhpOAzELKKVaZsFyMqmBDqjiSxUC0zyVOz4oevQTPnYyL
Kt/dkUDcQDZ7jm/WKcvDbqruIW3hzvGM8ucSPA6pQm45+WnKP6gIv3OFjgRxzeoc
tbjrjyOF5IaiZiKAPQ1pZwRSwvb2ZyMLtsJb8Z6DauxqNO6tYQs5rm9gzJDLpw1Z
dD7rqkQu/j/WfQpkHw/JyQoCtPaUFKvymqi8jTQUKgPCC7FVcamBDgdzJ07xKtrJ
nh8VvzCMA+uE5Dyx1A7HLSYxnvB6Y2cv249hXRWhZ5aigPOWqrf4kmb32gZZF+ad
CMU3IqwePhAqysRHEYxTuMRAT6HvADTr7o30tElVGT/lgYSJIJsdJtYvYFJh+ZX8
bRsXfG1sLyis3yqkJlUakfItgKBi4Wuk
=2PTZ
-----END PGP SIGNATURE-----
