La vulnerabilità di KeePass mette in pericolo le password principali

Per la seconda volta negli ultimi mesi un ricercatore di sicurezza ha scoperto una vulnerabilità nel gestore di password open source KeePass ampiamente utilizzato.

Questo riguarda le versioni di KeePass 2.X per Windows, Linux e macOS e offre agli aggressori un modo per recuperare la password principale di un obiettivo in chiaro da un dump della memoria, anche quando l'area di lavoro dell'utente è chiusa.

Sebbene il manutentore di KeePass abbia sviluppato una correzione per il difetto, non sarà generalmente disponibile fino al rilascio della versione 2.54 (probabilmente all'inizio di giugno). Nel frattempo, il ricercatore che ha scoperto la vulnerabilità — rintracciato come CVE-2023-32784 - ha già rilasciato un proof of concept per esso su GitHub.

"Non è richiesta l'esecuzione di codice sul sistema di destinazione, solo un dump della memoria", ha affermato il ricercatore di sicurezza "vdhoney" su GitHub. "Non importa da dove provenga la memoria: può essere il dump del processo, il file di scambio (pagefile.sys), il file di ibernazione (hiberfil.sys) o il dump della RAM dell'intero sistema."

Un utente malintenzionato può recuperare la password principale anche se l'utente locale ha bloccato l'area di lavoro e anche dopo che KeePass non è più in esecuzione, ha affermato il ricercatore.

Vdhoney ha descritto la vulnerabilità come una vulnerabilità che solo un utente malintenzionato con accesso in lettura al file system o alla RAM dell'host sarebbe in grado di sfruttare. Spesso, tuttavia, ciò non richiede che un utente malintenzionato abbia accesso fisico a un sistema. Gli aggressori remoti ottengono abitualmente tale accesso in questi giorni tramite exploit di vulnerabilità, attacchi di phishing, trojan di accesso remoto e altri metodi.

"A meno che non ti aspetti di essere specificamente preso di mira da qualcuno di sofisticato, manterrei la calma", ha aggiunto il ricercatore.

Vdhoney ha affermato che la vulnerabilità ha a che fare con il modo in cui una casella personalizzata KeyPass per l'immissione di password chiamata "SecureTextBoxEx" elabora l'input dell'utente. Quando l'utente digita una password, ci sono stringhe rimanenti che consentono a un utente malintenzionato di riassemblare la password in chiaro, ha detto il ricercatore. “Ad esempio, quando si digita 'Password', si otterranno queste stringhe rimanenti: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”

Patch all'inizio di giugno

In un thread di discussione su SourceForge, il manutentore di KeePass Dominik Reichl ha riconosciuto il problema e ha affermato di aver implementato due miglioramenti al gestore delle password per risolvere il problema.

I miglioramenti saranno inclusi nella prossima versione di KeePass (2.54), insieme ad altre funzionalità relative alla sicurezza, ha affermato Reichel. Inizialmente ha indicato che sarebbe successo nei prossimi due mesi, ma in seguito ha rivisto la data di consegna stimata per la nuova versione all'inizio di giugno.

"Per chiarire, 'entro i prossimi due mesi' era inteso come un limite superiore", ha detto Reichl. "Una stima realistica per il rilascio di KeePass 2.54 è probabilmente 'all'inizio di giugno' (ovvero 2-3 settimane), ma non posso garantirlo."

Domande sulla sicurezza di Password Manager

Per gli utenti di KeePass, questa è la seconda volta negli ultimi mesi che i ricercatori hanno scoperto un problema di sicurezza con il software. A febbraio, il ricercatore Alex Hernandez ha mostrato come un attaccante con accesso in scrittura al file di configurazione XML di KeePass potrebbe modificarlo in modo da recuperare le password in chiaro dal database delle password ed esportarle silenziosamente su un server controllato da un utente malintenzionato.

Sebbene alla vulnerabilità sia stato assegnato un identificatore formale (CVE-2023-24055), KeePass stesso ha contestato tale descrizione e mantenuto il gestore delle password non è progettato per resistere agli attacchi di qualcuno che ha già un alto livello di accesso su un PC locale.

"Nessun gestore di password è sicuro da usare quando l'ambiente operativo è compromesso da un attore malintenzionato", aveva osservato all'epoca KeePass. "Per la maggior parte degli utenti, un'installazione predefinita di KeePass è sicura quando viene eseguita su un ambiente Windows con patch tempestivo, gestito correttamente e utilizzato in modo responsabile."

È probabile che la nuova vulnerabilità KeyPass manterrà vive le discussioni sulla sicurezza del gestore di password ancora per un po' di tempo. Negli ultimi mesi si sono verificati diversi incidenti che hanno evidenziato problemi di sicurezza legati alle principali tecnologie di gestione delle password. A dicembre, per esempio, LastPass ha rivelato un incidente dove un attore della minaccia, utilizzando le credenziali di una precedente intrusione presso l'azienda, ha avuto accesso ai dati dei clienti archiviati presso un provider di servizi cloud di terze parti.

Nel mese di gennaio, ricercatori di Google messo in guardia sui gestori di password come Bitwarden, Dashlane e Safari Password Manager che compilano automaticamente le credenziali dell'utente senza alcuna richiesta in pagine non attendibili.

Nel frattempo, gli attori delle minacce hanno intensificato gli attacchi contro i prodotti di gestione delle password, probabilmente a causa di tali problemi.

Nel mese di gennaio, Bitwarden e 1Password hanno riferito di aver osservato annunci a pagamento nei risultati di ricerca di Google che hanno indirizzato gli utenti che hanno aperto gli annunci a siti per il download di versioni contraffatte dei loro gestori di password.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
• Coniare il futuro con Adryenn Ashley. Accedi qui.
• Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
• Fonte: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords