KeePass cuestiona la vulnerabilidad que permite el robo sigiloso de contraseñas

Iniciado por Dragora, Enero 31, 2023, 01:10:55 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


El equipo de desarrollo detrás del software de administración de contraseñas de código abierto KeePass está disputando lo que se describe como una vulnerabilidad recién descubierta que permite a los atacantes exportar sigilosamente toda la base de datos en texto sin formato.

KeePass es un administrador de contraseñas de código abierto muy popular que le permite administrar sus contraseñas utilizando una base de datos almacenada localmente, en lugar de una alojada en la nube, como LastPass o Bitwarden.

Para proteger estas bases de datos locales, los usuarios pueden cifrarlas con una contraseña maestra para que el malware o un actor de amenazas no pueda simplemente robar la base de datos y obtener acceso automáticamente a las contraseñas almacenadas en ella.

La nueva vulnerabilidad ahora se rastrea como  CVE-2023-24055 , y permite a los actores de amenazas con acceso de escritura al sistema de un objetivo alterar el archivo de configuración XML de KeePass e inyectar un disparador malicioso que exportaría la base de datos, incluidos todos los nombres de usuario y contraseñas en texto claro. .


La próxima vez que el objetivo inicie KeePass e ingrese la contraseña maestra para abrir y descifrar la base de datos, se activará la regla de exportación y el contenido de la base de datos se guardará en un archivo que los atacantes pueden luego filtrar a un sistema bajo su control.

Sin embargo, este proceso de exportación se inicia en segundo plano sin que el usuario sea notificado o KeePass solicite que se ingrese la contraseña maestra como confirmación antes de exportar, lo que permite que el actor de amenazas obtenga acceso silencioso a todas las contraseñas almacenadas.

Después de que esto se informó y se asignó un CVE-ID, los usuarios le pidieron al equipo de desarrollo detrás de KeePass que  agregara un mensaje de confirmación  antes de las exportaciones silenciosas de bases de datos como la que se activa a través de un archivo de configuración modificado maliciosamente o proporcionar una versión de la aplicación que  viene sin la función de exportación . .

Otra solicitud es agregar un  indicador configurable para deshabilitar la exportación  dentro de la base de datos real de KeePass, que solo podría cambiarse conociendo la contraseña maestra.

Desde que se asignó CVE-2023-24055, ya se ha compartido en línea un exploit de prueba de concepto, lo que probablemente facilite a los desarrolladores de malware actualizar a los ladrones de información con la capacidad de volcar y robar el contenido de las bases de datos de KeePass en dispositivos comprometidos.

Vulnerabilidad disputada por los desarrolladores de KeePass

Si bien los equipos CERT de los  Países Bajos  y  Bélgica  también emitieron avisos de seguridad sobre CVE-2023-24055, el equipo de desarrollo de KeePass argumenta que esto no debería clasificarse como una vulnerabilidad dado que los atacantes con acceso de escritura al dispositivo de un objetivo también pueden obtener el información contenida en la base de datos de KeePass a través de otros medios.

De hecho, una página de "Problemas de seguridad" en el Centro de ayuda de KeePass ha estado describiendo el problema de " Acceso de escritura al archivo de configuración " desde  al menos abril de 2019  como "no es realmente una vulnerabilidad de seguridad de KeePass".

Si el usuario instaló KeePass como un programa regular y los atacantes tienen acceso de escritura, también pueden "realizar varios tipos de ataques". Los actores de amenazas también pueden reemplazar el ejecutable KeePass con malware si el usuario ejecuta la versión portátil.

"En ambos casos, tener acceso de escritura al archivo de configuración de KeePass generalmente implica que un atacante puede realizar ataques mucho más poderosos que modificar el archivo de configuración (y estos ataques al final también pueden afectar a KeePass, independientemente de la protección del archivo de configuración), " explican los desarrolladores de KeePass.

"Estos ataques solo se pueden prevenir manteniendo el entorno seguro (utilizando un software antivirus, un cortafuegos, no abriendo archivos adjuntos de correo electrónico desconocidos, etc.). KeePass no puede ejecutarse mágicamente de forma segura en un entorno inseguro".

Sin embargo, incluso si los desarrolladores de KeePass no brindan a los usuarios una versión de la aplicación que aborde la exportación a texto sin cifrar a través del problema de los activadores, aún puede proteger su base de datos iniciando sesión como administrador del sistema y  creando un archivo de configuración obligatorio .


Opciones de KeePass deshabilitadas a través de la configuración forzada (KeePass)

Este tipo de archivo de configuración tiene prioridad sobre las configuraciones descritas en los archivos de configuración globales y locales, incluidos los nuevos activadores agregados por actores malintencionados, lo que mitiga el problema CVE-2023-24055.

Antes de usar un archivo de configuración obligatorio, también debe asegurarse de que los usuarios regulares del sistema no tengan acceso de escritura a ningún archivo/carpeta en el directorio de la aplicación KeePass.

Y también hay una cosa más que podría permitir a los atacantes eludir las configuraciones forzadas: usar un ejecutable de KeePass iniciado desde otra carpeta distinta a la que se guardó el archivo de configuración forzada.

"Tenga en cuenta que un archivo de configuración forzado solo se aplica al programa KeePass en el mismo directorio", dice el equipo de desarrollo de KeePass,

"Si el usuario ejecuta otra copia de KeePass sin un archivo de configuración obligatorio, esta copia no conoce el archivo de configuración obligatorio que se almacena en otro lugar, es decir, no se aplican configuraciones".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta