Het Nederlandse Cyber Security Centrum heeft een waarschuwing uitgegeven voor het gebruik van wachtwoordmanager KeePass. Aanvallers met toegang tot een pc kunnen wachtwoorden in plaintext uitvoeren. De ontwikkelaar wil het lek niet dichten.
Het dreigingsniveau van de aanval is niet zo hoog, omdat het toegang de pc vereist waarop de database staat. Daarom zegt de ontwikkelaar volgens de CVE-melding dat een fix niet nodig is. KeePass is niet bedoeld om beveiligd te zijn tegen aanvallers die al op binnen zijn gedrongen op de pc van het slachtoffer.
De aanval is te pareren door de configuratie zo aan te passen dat het master-wachtwoord nodig is voor een export van de opgeslagen database van wachtwoorden. Dat voorkomt dat de export-trigger uit de aanval werkt. Het NCSC waarschuwt organisaties om de configuratie van KeePass na te lopen om te zorgen dat die aanstaat. "Daarnaast wordt organisaties geadviseerd om een risico-afweging te maken voor het gebruik van KeePass."
Source: Tweakers.net