1月31日、オープンソースのパスワード管理ツールKeePassにセキュリティ上の脆弱性があり、攻撃者がユーザーに知られずにデータベース全体をプレーンテキストでエクスポートできることが報告されました。

IT ホーム ミニ レッスン: LastPass や Bitwarden のクラウド ホスト アプローチと比較して、オープン ソース パスワード管理ツール KeePass は、主にローカルに保存されたデータベースを使用してデータベースを管理します。

これらのローカルデータベースを保護するために、ユーザーはマスターパスワードを使用して暗号化することができます。これにより、マルウェアや脅威アクターによるデータベースの盗難や、そこに保存されている関連パスワードへのアクセスを防止できます。

この新たな脆弱性は現在、CVE-2023-24055として追跡されています。攻撃者は、標的のシステムへの書き込みアクセス権を取得した後、KeePassのXML設定ファイルを変更し、悪意のあるトリガーを挿入することで、すべてのユーザー名とパスワードを含むデータベースを平文でエクスポートすることができます。

エクスポート プロセス全体は、被害者に通知することなくバックグラウンドで完了し、事前の操作は必要なく、被害者はマスター パスワードを入力する必要がないため、脅威となる攻撃者は保存されているすべてのパスワードに密かにアクセスできるようになります。

ユーザーは、CVE-ID を報告して割り当てた後、KeePass の開発チームに、サイレント データベース エクスポートの前に確認プロンプトを追加すること、悪意を持って変更された構成ファイルによってエクスポートがトリガーされた後にプロンプ​​トを発行すること、またはエクスポート機能のないアプリケーション バージョンを提供することを要求しました。

KeePassは、この問題はKeePassに起因するものではないと回答しました。KeePassの開発者は、「KeePassの設定ファイルへの書き込み権限を持つということは、攻撃者が設定ファイルを単に変更するよりも強力な攻撃を実行できることを意味します（そして、これらの攻撃は最終的に、設定ファイルの保護とは関係なく、KeePass自体に影響を与えることになります）」と説明しています。

開発者らは続けて、「こうした攻撃を防ぐには、環境を安全に保つこと（ウイルス対策ソフトウェアやファイアウォールの使用、不明なメールの添付ファイルを開かないなど）しかありません。KeePassは安全でない環境では魔法のように安全に動作させることはできません」と述べています。