La vulnerabilidad de KeePass pone en peligro las contraseñas maestras

Por segunda vez en los últimos meses, un investigador de seguridad descubrió una vulnerabilidad en el administrador de contraseñas de código abierto KeePass, ampliamente utilizado.

Este afecta a las versiones de KeePass 2.X para Windows, Linux y macOS, y brinda a los atacantes una forma de recuperar la contraseña maestra de un objetivo en texto sin cifrar desde un volcado de memoria, incluso cuando el espacio de trabajo del usuario está cerrado.

Si bien el mantenedor de KeePass ha desarrollado una solución para la falla, no estará disponible en general hasta el lanzamiento de la versión 2.54 (probablemente a principios de junio). Mientras tanto, el investigador que descubrió la vulnerabilidad, rastreado como CVE-2023-32784 - ya tiene lanzó una prueba de concepto para ello en GitHub.

“No se requiere la ejecución de código en el sistema de destino, solo un volcado de memoria”, dijo el investigador de seguridad “vdhoney” en GitHub. "No importa de dónde provenga la memoria: puede ser el volcado de proceso, el archivo de intercambio (pagefile.sys), el archivo de hibernación (hiberfil.sys) o el volcado de RAM de todo el sistema".

Un atacante puede recuperar la contraseña maestra incluso si el usuario local ha bloqueado el espacio de trabajo e incluso después de que KeePass ya no se esté ejecutando, dijo el investigador.

Vdhoney describió la vulnerabilidad como una que solo un atacante con acceso de lectura al sistema de archivos o RAM del host podría explotar. Sin embargo, a menudo eso no requiere que un atacante tenga acceso físico a un sistema. Los atacantes remotos habitualmente obtienen dicho acceso en estos días a través de la explotación de vulnerabilidades, ataques de phishing, troyanos de acceso remoto y otros métodos.

“A menos que espere ser un objetivo específico de alguien sofisticado, mantendría la calma”, agregó el investigador.

Vdhoney dijo que la vulnerabilidad tenía que ver con la forma en que un cuadro personalizado KeyPass para ingresar contraseñas llamado "SecureTextBoxEx" procesa la entrada del usuario. Cuando el usuario escribe una contraseña, quedan cadenas sobrantes que permiten a un atacante volver a ensamblar la contraseña en texto sin cifrar, dijo el investigador. “Por ejemplo, cuando se escribe 'Contraseña', se obtendrán estas cadenas sobrantes: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”

Parche a principios de junio

En un hilo de discusión en SourceForge, el mantenedor de KeePass, Dominik Reichl, reconoció el problema y dijo que había implementado dos mejoras en el administrador de contraseñas para solucionar el problema.

Las mejoras se incluirán en la próxima versión de KeePass (2.54), junto con otras características relacionadas con la seguridad, dijo Reichel. Inicialmente indicó que sucedería en algún momento de los próximos dos meses, pero luego revisó la fecha estimada de entrega de la nueva versión a principios de junio.

“Para aclarar, 'dentro de los próximos dos meses' se entiende como un límite superior”, dijo Reichl. "Una estimación realista para el lanzamiento de KeePass 2.54 probablemente sea 'a principios de junio' (es decir, 2-3 semanas), pero no puedo garantizarlo".

Preguntas sobre la seguridad del administrador de contraseñas

Para los usuarios de KeePass, esta es la segunda vez en los últimos meses que los investigadores descubren un problema de seguridad con el software. En febrero, el investigador Alex Hernandez mostró cómo un atacante con acceso de escritura al archivo de configuración XML de KeePass podría editarlo para recuperar contraseñas de texto claro de la base de datos de contraseñas y exportarlo silenciosamente a un servidor controlado por un atacante.

Aunque a la vulnerabilidad se le asignó un identificador formal (CVE-2023-24055), el propio KeePass disputó esa descripción y mantuvo que el administrador de contraseñas no está diseñado para soportar ataques de alguien que ya tiene un alto nivel de acceso en una PC local.

“Ningún administrador de contraseñas es seguro de usar cuando el entorno operativo se ve comprometido por un actor malintencionado”, señaló KeePass en ese momento. "Para la mayoría de los usuarios, una instalación predeterminada de KeePass es segura cuando se ejecuta en un entorno de Windows parcheado oportunamente, administrado adecuadamente y utilizado de manera responsable".

Es probable que la nueva vulnerabilidad de KeyPass mantenga vivas las discusiones sobre la seguridad del administrador de contraseñas durante más tiempo. En los últimos meses, ha habido varios incidentes que han resaltado problemas de seguridad relacionados con las principales tecnologías de gestión de contraseñas. En diciembre, por ejemplo, LastPass reveló un incidente donde un actor de amenazas, utilizando las credenciales de una intrusión anterior en la empresa, accedió a los datos del cliente almacenados con un proveedor de servicios en la nube de terceros.

En enero, investigadores en Google advirtió sobre los administradores de contraseñas como Bitwarden, Dashlane y Safari Password Manager que completan automáticamente las credenciales de los usuarios sin que se le solicite ingresar a páginas que no son de confianza.

Mientras tanto, los actores de amenazas han intensificado los ataques contra los productos de administración de contraseñas, probablemente como resultado de tales problemas.

En enero, Bitwarden y 1Password informaron haber observado anuncios pagados en los resultados de búsqueda de Google que dirigían a los usuarios que abrían los anuncios a sitios para descargar versiones falsificadas de sus administradores de contraseñas.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
• Fuente: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords