Vulnerabilidade do KeePass coloca em risco as senhas mestras

Pela segunda vez nos últimos meses, um pesquisador de segurança descobriu uma vulnerabilidade no amplamente utilizado gerenciador de senhas de código aberto KeePass.

Este afeta as versões KeePass 2.X para Windows, Linux e macOS e oferece aos invasores uma maneira de recuperar a senha mestra de um alvo em texto não criptografado de um despejo de memória - mesmo quando o espaço de trabalho do usuário está fechado.

Embora o mantenedor do KeePass tenha desenvolvido uma correção para a falha, ela não estará disponível até o lançamento da versão 2.54 (provavelmente no início de junho). Enquanto isso, o pesquisador que descobriu a vulnerabilidade - rastreada como CVE-2023-32784 - já tem lançou uma prova de conceito para isso no GitHub.

“Não é necessária nenhuma execução de código no sistema de destino, apenas um despejo de memória”, disse o pesquisador de segurança “vdhoney” no GitHub. “Não importa de onde vem a memória – pode ser o despejo do processo, arquivo de troca (pagefile.sys), arquivo de hibernação (hiberfil.sys) ou despejo de RAM de todo o sistema.”

Um invasor pode recuperar a senha mestra mesmo que o usuário local tenha bloqueado o espaço de trabalho e mesmo depois que o KeePass não estiver mais em execução, disse o pesquisador.

Vdhoney descreveu a vulnerabilidade como aquela que apenas um invasor com acesso de leitura ao sistema de arquivos ou RAM do host seria capaz de explorar. Muitas vezes, no entanto, isso não exige que um invasor tenha acesso físico a um sistema. Atualmente, os invasores remotos obtêm esse acesso rotineiramente por meio de explorações de vulnerabilidade, ataques de phishing, cavalos de Tróia de acesso remoto e outros métodos.

“A menos que você espere ser alvo específico de alguém sofisticado, eu manteria a calma”, acrescentou o pesquisador.

Vdhoney disse que a vulnerabilidade tinha a ver com a forma como uma caixa personalizada KeyPass para inserir senhas chamada “SecureTextBoxEx” processa a entrada do usuário. Quando o usuário digita uma senha, há strings restantes que permitem que um invasor remonte a senha em texto não criptografado, disse o pesquisador. “Por exemplo, quando 'Senha' é digitado, isso resultará nas seguintes sequências de caracteres: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”

Patch no início de junho

Em um artigo do tópico de discussão no SourceForge, o mantenedor do KeePass, Dominik Reichl, reconheceu o problema e disse que implementou duas melhorias no gerenciador de senhas para resolver o problema.

As melhorias serão incluídas na próxima versão do KeePass (2.54), junto com outros recursos relacionados à segurança, disse Reichel. Ele inicialmente indicou que isso aconteceria nos próximos dois meses, mas depois revisou a estimativa de entrega da nova versão para o início de junho.

“Para esclarecer, 'nos próximos dois meses' foi entendido como um limite superior”, disse Reichl. “Uma estimativa realista para o lançamento do KeePass 2.54 provavelmente é 'no início de junho' (ou seja, 2 a 3 semanas), mas não posso garantir isso.”

Perguntas sobre a segurança do Password Manager

Para os usuários do KeePass, esta é a segunda vez nos últimos meses que os pesquisadores descobriram um problema de segurança com o software. Em fevereiro, o pesquisador Alex Hernandez mostrou como um atacante com acesso de gravação ao arquivo de configuração XML do KeePass poderia editá-lo de maneira a recuperar senhas de texto simples do banco de dados de senhas e exportá-lo silenciosamente para um servidor controlado por um invasor.

Embora a vulnerabilidade tenha recebido um identificador formal (CVE-2023-24055), o próprio KeePass contestou essa descrição e mantido, o gerenciador de senhas não foi projetado para resistir a ataques de alguém que já tenha um alto nível de acesso em um PC local.

“Nenhum gerenciador de senhas é seguro de usar quando o ambiente operacional é comprometido por um agente mal-intencionado”, observou KeePass na época. “Para a maioria dos usuários, uma instalação padrão do KeePass é segura quando executada em um ambiente Windows atualizado, gerenciado adequadamente e usado com responsabilidade.”

A nova vulnerabilidade do KeyPass provavelmente manterá as discussões sobre a segurança do gerenciador de senhas vivas por mais algum tempo. Nos últimos meses, houve vários incidentes que destacaram problemas de segurança relacionados às principais tecnologias de gerenciamento de senhas. Em dezembro, por exemplo, LastPass divulgou um incidente onde um agente de ameaça, usando credenciais de uma invasão anterior na empresa, acessou os dados do cliente armazenados com um provedor de serviços de nuvem terceirizado.

Em janeiro, pesquisadores do Google alertou sobre gerenciadores de senhas, como Bitwarden, Dashlane e Safari Password Manager, que preenchem automaticamente as credenciais do usuário sem qualquer solicitação em páginas não confiáveis.

Enquanto isso, os agentes de ameaças aumentaram os ataques contra produtos gerenciadores de senhas, provavelmente como resultado de tais problemas.

Em janeiro, Bitwarden e 1Password relataram observar anúncios pagos nos resultados de pesquisa do Google que direcionavam os usuários que abriam os anúncios a sites para baixar versões falsificadas de seus gerenciadores de senhas.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
• Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
• Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords