18 may 2023

Vulnerabilidad en Keepass permite obtener la contraseña maestra de memoria (Corregido!)

Por segunda vez en los últimos meses, un investigador de seguridad descubrió una vulnerabilidad en el administrador de contraseñas de código abierto KeePass, ampliamente utilizado.

Este afecta a las versiones de KeePass 2.X para Windows, Linux y macOS, y brinda a los atacantes una forma de recuperar la contraseña maestra de un objetivo en texto sin cifrar desde un volcado de memoria, incluso cuando el espacio de trabajo del usuario está cerrado.

Si bien el mantenedor de KeePass ha desarrollado una solución para la falla, no estará disponible en general hasta el lanzamiento de la versión 2.54 (probablemente a principios de junio). Mientras tanto, el investigador que descubrió la vulnerabilidad, identificada como CVE-2023-32784, ya ha publicado una prueba de concepto en GitHub.

"No se requiere la ejecución de código en el sistema de destino, solo un volcado de memoria", dijo el investigador de seguridad "vdhoney" en GitHub. "No importa de dónde provenga la memoria: puede ser el volcado del proceso, el archivo de intercambio (pagefile.sys), el archivo de hibernación (hiberfil.sys) o el volcado de RAM de todo el sistema".

Un atacante puede recuperar la contraseña maestra incluso si el usuario local ha bloqueado el espacio de trabajo e incluso después de que KeePass ya no se esté ejecutando, dijo el investigador.

Vdhoney describió la vulnerabilidad como una que solo un atacante con acceso de lectura al sistema de archivos o RAM del host podría explotar. Sin embargo, a menudo eso no requiere que un atacante tenga acceso físico a un sistema. Los atacantes remotos habitualmente obtienen dicho acceso en estos días a través de la explotación de vulnerabilidades, ataques de phishing, troyanos de acceso remoto y otros métodos.

"A menos que espere ser un objetivo específico de alguien sofisticado, mantendría la calma", agregó el investigador.

Vdhoney dijo que la vulnerabilidad tiene que ver con la forma en que un cuadro personalizado de KeePass, llamado "SecureTextBoxEx" (sic), permite ingresar contraseñas. Cuando el usuario escribe una contraseña, quedan cadenas que le permiten a un atacante volver a ensamblarla en texto sin cifrar, dijo el investigador. "Por ejemplo, cuando se escribe 'password', se obtendrán estas cadenas sobrantes: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d".

Parche a principios de junio

En un hilo de discusión en SourceForge, el mantenedor de KeePass, Dominik Reichl, reconoció el problema y dijo que había implementado dos mejoras en el administrador de contraseñas para solucionar el problema.

Las mejoras se incluirán en la próxima versión de KeePass (2.54), junto con otras características relacionadas con la seguridad, dijo Reichel. Inicialmente indicó que sucedería en algún momento de los próximos dos meses, pero luego revisó la fecha estimada de entrega de la nueva versión a principios de junio.

Problemas generales con los gestores de contraseñas

Es probable que la nueva vulnerabilidad de KeePass mantenga vivas las discusiones sobre la seguridad del administrador de contraseñas durante más tiempo. En los últimos meses, ha habido varios incidentes que han resaltado problemas de seguridad relacionados con las principales tecnologías de gestión de contraseñas. En diciembre, por ejemplo, LastPass reveló un incidente en el que un actor de amenazas, utilizando las credenciales de una intrusión anterior en la empresa, accedió a los datos del cliente almacenados con un proveedor de servicios en la nube de terceros.

En enero, los investigadores de Google advirtieron sobre los administradores de contraseñas, como Bitwarden, Dashlane y Safari Password Manager, que completan automáticamente las credenciales de los usuarios sin que se les solicite ingresar a páginas que no son de confianza.

En enero, Bitwarden y 1Password informaron haber observado anuncios pagados en los resultados de búsqueda de Google que dirigían a los usuarios que abrían los anuncios a sitios para descargar versiones falsificadas de sus administradores de contraseñas.

Mientras tanto, los actores de amenazas han intensificado los ataques contra los productos de administración de contraseñas, probablemente como resultado de tales problemas.

Actualización 03/06: KeePass ya ha publicado la versión 2.54 que corrige el problema.

Fuente: DarkReading

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!