Una herramienta de pruebas de conceptos (PoC) denominada “KeePass 2.X Master Password Dumper” permitiría obtener la llave maestra de KeePass, haciendo uso de la vulnerabilidad rastreada como CVE-2023-32784.
El investigador de seguridad Vdohney, ha liberado una herramienta de PoC denominada KeePass 2.X Master Password Dumper. Esta herramienta se aprovecha de la vulnerabilidad rastreada como CVE-2023-32784, lo que permite a un atacante, recuperar la llave maestra, desde la memoria de KeePass, en las versiones 2.X.
La vulnerabilidad en cuestión (CVE-2023-32784), es falla en la memoria de volcado, lo que permite el recobrar la llave maestra, en texto plano. El volcado de memoria puede ser: un volcado de proceso de KeePass, un archivo swap como pagefile.sys, un archivo de hibernación como hiberfil.sys o un volcado de RAM del sistema completo.
KeePass es un software de código abierto ampliamente utilizado para la gestión, principalmente de contraseñas. Puede decirse que es una “Caja fuerte” digital, en la cual, los distintos usuarios pueden guardar y organizar cualquier tipo de información sensible que deseen proteger, esto incluye contraseñas, números de tarjeta de crédito, apuntes, entre otro tipo de información. KeePass funciona mediante el cifrado de los datos almacenados, haciendo uso de una clave o contraseña maestras, esta llave maestra es requerida al momento de acceder a la información almacenada.
La vulnerabilidad descubierta por Vdhoney se encuentra relacionada con cómo un cuadro personalizado de KeyPass para introducir contraseñas, denominado “SecureTextBoxEX”, procesa la entrada del usuario. Cada vez que un usuario teclea una contraseña, se crean restos de cadenas de caracteres (cada vez que una contraseña es tacleada, se crean remanentes, por ejemplo, la palabra “Password”, lo cual se observaría de la siguiente manera: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d.), los cuales pueden ser utilizados por los atacantes para reensamblar la contraseña, en texto claro.
La efectividad de este ataque se encuentra relacionado con la manera en que la contraseña fue tecleada y la cantidad de contraseñas que han sido tecleadas por sesión. Sin embargo, incluso cuando se hayan ingresado una gran cantidad de contraseñas en una sesión typos (error a la hora de teclear alguna información), la manera en la que .NET CLR estas cadenas, significa que se encuentran propensas a ser ordenadas en la memoria.
El parcheo
Un miembro del personal que da mantenimiento a KeePass, Dominik Reichl, comentó que se daba por enterado del problema en KeePass y mencionó haber implementado dos mejoras en el gestor de contraseñas, las cuales abordarían este problema. Sin embargo, estas mejoras no serán incluidas, sino, hasta el lanzamiento de la versión 2.54 de KeePass, entre otras características de seguridad.
Aunque al inicio, se estimaba el lanzamiento de 2.54 en los siguientes dos meses, el lanzamiento se estaría calendarizando para inicios de junio. Sin embargo, no existen garantías de este lapso, provisto por Dominik Reichl.
Si bien, se hacía mención de que la vulnerabilidad CVE-2023-32784 solamente puede ser explotada por un atacante local. Según mencionaba el investigador, no había problema alguno, a menos que se esperara ser objetivo de algún grupo sofisticado de amenazas, no hay razón para perder la calma. Sin embargo, no es necesario, para un atacante, el estar físicamente en el sitio de ataque, abonado a esto, no es secreto, el incremento de atacantes remotos que rutinariamente ganan este tipo de accesos, a través de exploits, ataques de phishing, troyanos de acceso remoto (RAT), solo por mencionar algunos métodos.
Esta sería la segunda vulnerabilidad descubierta en meses recientes, el primero hace referencia a la vulnerabilidad que permitiría a un atacante con acceso al archivo de configuración XMl de KeePas, editarlo de manera que este regresara las contraseñas en texto claro, desde la base de datos de contraseñas, para luego exportarlas silenciosamente hacia un servidor controlado por el atacante.
Esta nueva vulnerabilidad en KeyPass, deja la puerta abierta, con respecto a los gestores de contraseñas, pues se da a resaltar la gran cantidad de incidentes relacionados a este tipo de software (gestores de contraseñas) y la importancia que podría tener el acceso a estas por parte de actores de amenazas.
Recomendaciones
- Instalar la versión 2.54 de KeePass, una vez disponible.
- Cambiar la contraseña maestra.
- Borrar pagefile/swapfile.
- Sobrescribir los datos borrados en el disco duro para evitar el tallado.
- Reiniciar el ordenador.
