-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid aangetroffen in KeePass Advisory ID : NCSC-2023-0044 Versie : 1.00 Kans : medium CVE ID : CVE-2023-24055 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Toegang tot gevoelige gegevens Uitgiftedatum : 20230126 Toepassing : KeePass Versie(s) : Platform(s) : Beschrijving Er is een kwetsbaarheid aangetroffen in KeePass. Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken voor het verkrijgen van toegang tot gegevens die in een KeePass-database zijn opgeslagen. Het gaat hierbij bijvoorbeeld om gebruikersnamen, wachtwoorden en e-mailadressen. Succesvol misbruik vereist dat de kwaadwillende toegang heeft tot het systeem waarop KeePass is geïnstalleerd. De kwetsbaarheid wordt veroorzaakt doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale kwaadwillende kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens naar de kwaadwillende worden geëxporteerd. Voor de kwetsbaarheid is een proof-of-concept publiek beschikbaar. Mogelijke oplossingen De ontwikkelaar van KeePass heeft aangegeven geen beveiligingsupdates te zullen uitbrengen om de kwetsbaarheid te verhelpen. Het standpunt van de ontwikkelaar is dat wanneer een kwaadwillende toegang heeft tot het systeem van het slachtoffer, er geen redelijke manier is om diefstal van de opgeslagen gegevens te voorkomen. KeePass biedt systeembeheerders desalniettemin de mogelijkheid om misbruik te voorkomen door bepaalde configuraties af te dwingen. Het afdwingen van een configuratie vindt plaats via een zogenaamd Enforced Configuration File. Door de parameter "ExportNoKey" op "false" te zetten wordt ervoor gezorgd dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens. Op die manier wordt voorkomen dat een kwaadwillende heimelijk gevoelige gegevens exporteert. Zie de volgende pagina's voor meer informatie: https://sourceforge.net/p/keepass/discussion/329220/thread /a146e5cf6b/?page=1&limit=25#73e4 https://keepass.info/help/kb/config_enf.html Het NCSC adviseert organisaties om van een Enforced Configuration gebruik te maken en ten minste bovenstaande configuratie te implementeren. Daarnaast wordt organisaties geadviseerd om een risico-afweging te maken voor het gebruik van KeeePass. Houdt daarbij oog voor andere beveiligingsmaatregelen die zijn geïmplementeerd, zoals full-disk encryption, multi-factor authenticatie, antivirusmaatregelen en spamfilters. Meer achtergrondinformatie over de beveiligingsfunctionaliteiten van KeePass en een toelichting van de ontwikkelaar zijn te vinden op de volgende pagina's: https://keepass.info/help/kb/sec_issues.html#cfgw https://keepass.info/help/base/security.html#secspecattacks https://sourceforge.net/p/keepass/discussion/329220/thread /a146e5cf6b/ Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBY9J7H/4Vd0fJc7lbAQpYrwv9FbbEojKrV9Og0UXa5wDijjJdYblWVdar 4bz2zieacblseBymGCVc8wiIDv/EIxKpFmBeCZgtjr3yxNtE0BuJZ4aFRhQ+X6jS DVCC304JvSiWRAvJpOye7XjqAcgShX78QTb+TEWI7igprve3uHEAr7S7Ei1vEhzc Lv5TSqfb/5bTW8Z2dsXcw0orj8TodAgEkpHROZaubEHDGhQDeUI9K0JA+yQNWeVq I4H83yd6PMjUm5CsvZ2PQesLwGxFBN4WjMUgGBDNHWxEbVKMisZGzBnhyF/rzoMi 4O4mhgblAmePPn4ywx5gjhAltD6ISGSk3w0dmokh54PCuzYXEM7du1jaaFXNGIkK n1dXQhwQhOtkEVpQXb0KUwHeyoj8o1yXCp4F/pzAvj7xVYnjoPp4V6s2jlu2zXtd YBAZzOxQM9/rs/TIuWWunqtW10ncjG4ZT0u4pbxzw0+kZeUH+8JdIBrR4gu7xrOo JQgf+fm15Cp8jPijV9R0zjXA1RkFvONa =3FBZ -----END PGP SIGNATURE-----