KeePass è un rinomato e ampiamente diffuso password manager di natura open source che consente di salvare localmente le password andandole a proteggere con una master key. Da qualche giorno a questa parte è oggetto di discussione riguardo l’esistenza di una vulnerabilità che qualora sfruttata potrebbe avere delle conseguenze piuttosto gravi.
KeePass: scovata la falla CVE-2023-24055
La falla “incriminata” è quella siglata come CVE-2023-24055 e a quanto pare permette di esportare il database delle password in chiaro, ma secondo il team di sviluppo non si tratta di un bug del software.
Andando più in dettaglio, la falla potrebbe venire adoperata per accedere in scrittura al file di configurazione XML di KeePass e ottenere le password in chiaro, andando inoltre ad aggiungere un trigger di esportazione. La procedura viene eseguita in background, di conseguenza gli utenti presi di mira non si accorgono assolutamente di nulla.
Per evitare problemi, alcuni suggeriscono di abilitare l’opzione che consente l’esportazione solo dopo aver inserito la master key, ma va tenuto conto che un malintenzionato che ha accesso al computer potrebbe pure disattivare quest’opzione, rendendo quindi lo sforzo praticamente vano.
Inoltre, un malintenzionato che riesce ad accedere al computer può anche sostituire l’eseguibile KeePass.exe con un malware e più generale mettere a segno attacchi di varia natura e pure più efficaci rispetto alla sola modifica del file di configurazione.
Chi utilizza KeePass e preferisce affidarsi all’uso di una soluzione alternativa che non salva i dati localmente, può valutare di rivolgersi a NordPass, un altro noto e piuttosto apprezzato password manager.