ในช่วงเดือนมกราคม 2565 มีการค้นพบช่องโหว่ใหม่ของ KeePass ซึ่งเป็นตัวจัดการรหัสผ่านแบบ Open-Source ที่ใช้กันอย่างแพร่หลาย ช่องโหว่นี้มีหมายเลข CVE-2023-24055 โดยทำให้ผู้โจมตีสามารถเข้าถึงระบบของเป้าหมาย เพื่อแก้ไขไฟล์ KeePass XML configuration ได้ นอกจากนี้ยังสามารถ inject โค้ดที่เป็นอันตรายเพื่อทำให้สามารถ Export Database รวมถึง Username และ Password ทั้งหมดในรูปแบบของ plain text ได้อีกด้วย
รายละเอียดการโจมตี
- เมื่อผู้ใช้งานเปิด KeePass และกรอก Master Password แล้ว Export Rule ที่ตั้งค่าไว้จะเริ่มทำงาน ส่งผลให้รหัสผ่านทั้งหมดที่ถูกเก็บจะถูกบันทึกลงในไฟล์ที่ผู้โจมตีสามารถเข้าถึงได้
- กระบวนการ Export Database จะทำงานอยู่เบื้องหลังโดยที่ผู้ใช้งานไม่ได้รับการแจ้งเตือน ทำให้ผู้โจมตีสามารถเข้าถึงรหัสผ่านที่เก็บไว้ทั้งหมดได้โดยที่ผู้ใช้งานไม่รู้ตัว
หลังจากมีรายงาน และกำหนด CVE-ID แล้ว มีการร้องขอให้ทีมพัฒนาของ KeePass ทำการเพิ่มข้อความแจ้งเตือนก่อนที่จะมีการ Export Database เพื่อแจ้งเตือนสำหรับการโจมตี นอกจากนี้ยังขอให้ผู้พัฒนาเพิ่มการตั้งค่า Export Database ให้สามารถทำได้โดยผู้รู้ Master Password เท่านั้น เพราะตั้งแต่มีการเปิดเผย CVE-2023-24055 ออกสู่สาธารณะ ผู้โจมตีสามารถอัปเกรดมัลแวร์สำหรับขโมยข้อมูล เพื่อใช้ในการโจมตีลักษณะนี้ได้
ในขณะที่ทีม CERT ของเนเธอร์แลนด์ และเบลเยียมได้ออกคำแนะนำด้านความปลอดภัยเกี่ยวกับ CVE-2023-24055 ทีมพัฒนา KeePass กลับมองว่าเหตุการณ์ดังกล่าวไม่จัดเป็นประเภทของช่องโหว่ เนื่องจากการโจมตีนี้จะเกิดขึ้นได้ ผู้โจมตีต้องมีสิทธิ์เข้าถึงอุปกรณ์ของเป้าหมายก่อน หากผู้โจมตีได้สิทธิ์สูงขนาด Write ข้อมูลบนเครื่องเหยื่อได้แล้ว ย่อมสามารถทำได้มากกว่าการแก้ไข Configuration Files ของ KeePass อย่างแน่นอน พร้อมกับชี้แจงว่าการโจมตีเหล่านี้สามารถป้องกันได้โดยให้เครื่องเป้าหมายมี Environment ที่ปลอดภัย (เช่น ติดตั้ง AntiVirus, มีการจัดการ Access Control ด้วย Firewall, ไม่เปิดไฟล์แนบจากอีเมลที่ไม่รู้จัก ฯลฯ)
แนวทางการป้องกัน
- ผู้พัฒนา KeePass ไม่ได้ระบุเวอร์ชันที่มีช่องโหว่ เพียงแจ้งว่าข้อมูลของผู้ใช้งานจะปลอดภัยหากมีการเก็บ Log การใช้งานของ Admin และทำการ Enforced Configuration ที่ hxxps://keepass[.]info/help/kb/config_enf[.]html
- ก่อนรัน Enforced Configuration ผู้ดูแระบบต้องตรวจสอบให้แน่ใจว่าผู้ใช้งานทั่วไปไม่มีสิทธิ์เขียนไฟล์/โฟลเดอร์ใดๆ ในไดเร็กทอรีของแอพ KeePass
- ให้ผู้ดูแลระบบรัน Enforced Configuration และเปิดให้ใช้งาน KeePass บนไดเร็กทอรีเดียวเท่านั้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.