NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid aangetroffen in KeePass
Advisory ID     : NCSC-2023-0044
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2023-24055
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20230126
Toepassing      : KeePass
Versie(s)       :
Platform(s)     :

Beschrijving
   Er is een kwetsbaarheid aangetroffen in KeePass. Een kwaadwillende
   kan de kwetsbaarheid mogelijk misbruiken voor het verkrijgen van
   toegang tot gegevens die in een KeePass-database zijn opgeslagen.
   Het gaat hierbij bijvoorbeeld om gebruikersnamen, wachtwoorden en
   e-mailadressen. Succesvol misbruik vereist dat de kwaadwillende
   toegang heeft tot het systeem waarop KeePass is geïnstalleerd.

   De kwetsbaarheid wordt veroorzaakt doordat de configuratie van
   KeePass onversleuteld wordt opgeslagen. Een lokale kwaadwillende kan
   deze configuratie aanpassen en een malafide exportregel toevoegen.
   Wanneer een gebruiker een KeePass-database opent, zorgt de
   exportregel ervoor dat opgeslagen gegevens naar de kwaadwillende
   worden geëxporteerd.

   Voor de kwetsbaarheid is een proof-of-concept publiek beschikbaar.

Mogelijke oplossingen
   De ontwikkelaar van KeePass heeft aangegeven geen
   beveiligingsupdates te zullen uitbrengen om de kwetsbaarheid te
   verhelpen. Het standpunt van de ontwikkelaar is dat wanneer een
   kwaadwillende toegang heeft tot het systeem van het slachtoffer, er
   geen redelijke manier is om diefstal van de opgeslagen gegevens te
   voorkomen.

   KeePass biedt systeembeheerders desalniettemin de mogelijkheid om
   misbruik te voorkomen door bepaalde configuraties af te dwingen. Het
   afdwingen van een configuratie vindt plaats via een zogenaamd
   Enforced Configuration File. Door de parameter "ExportNoKey" op
   "false" te zetten wordt ervoor gezorgd dat een masterwachtwoord is
   vereist voor het exporteren van opgeslagen gegevens. Op die manier
   wordt voorkomen dat een kwaadwillende heimelijk gevoelige gegevens
   exporteert. Zie de volgende pagina's voor meer informatie:

   https://sourceforge.net/p/keepass/discussion/329220/thread
      /a146e5cf6b/?page=1&limit=25#73e4
   https://keepass.info/help/kb/config_enf.html

   Het NCSC adviseert organisaties om van een Enforced Configuration
   gebruik te maken en ten minste bovenstaande configuratie te
   implementeren. Daarnaast wordt organisaties geadviseerd om een
   risico-afweging te maken voor het gebruik van KeeePass. Houdt
   daarbij oog voor andere beveiligingsmaatregelen die zijn
   geïmplementeerd, zoals full-disk encryption, multi-factor
   authenticatie, antivirusmaatregelen en spamfilters.

   Meer achtergrondinformatie over de beveiligingsfunctionaliteiten van
   KeePass en een toelichting van de ontwikkelaar zijn te vinden op de
   volgende pagina's:

   https://keepass.info/help/kb/sec_issues.html#cfgw
   https://keepass.info/help/base/security.html#secspecattacks
   https://sourceforge.net/p/keepass/discussion/329220/thread
      /a146e5cf6b/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=3FBZ
-----END PGP SIGNATURE-----