El popular administrador de contraseñas KeePass tiene un exploit preocupante que podría resultar en el robo de su contraseña maestra.
Un investigador de seguridad ha publicado una prueba de concepto que demuestra cómo un actor de amenazas podría extraer la contraseña maestra de un usuario de la memoria de la aplicación KeePass al explotar un error, rastreado como CVE-2023-3278.
«KeePass Master Password Dumper es una herramienta simple de prueba de concepto que se utiliza para volcar la contraseña maestra de la memoria de KeePass. Aparte del primer carácter de la contraseña, puede recuperar la contraseña en texto sin formato», afirma el investigador.
Sin ejecución de código
Agregaron que «no se requiere la ejecución de código en el sistema de destino, solo un volcado de memoria. No importa de dónde provenga la memoria, puede ser el volcado del proceso, el archivo de intercambio (pagefile.sys), el archivo de hibernación (hiberfil. sys) o volcado de RAM de todo el sistema. No importa si el espacio de trabajo está bloqueado o no».
La contraseña maestra también se puede extraer de la RAM del sistema después de que KeePass haya dejado de ejecutarse, aunque el investigador señaló que cuanto más tiempo ha transcurrido desde el cierre de la aplicación, las posibilidades de una extracción exitosa disminuyen.
El PoC se probó en Windows, pero el investigador afirma que el exploit también funciona en las versiones de macOS y Linux.
El PoC funciona explotando un cuadro de texto desarrollado a medida para la entrada de contraseña, SecureTextBoxEx, que envía los caracteres que un usuario escribe a la memoria del sistema. Este cuadro no solo se usa al escribir la contraseña maestra, sino también al editar otras contraseñas almacenadas, por lo que también podrían verse comprometidas.
La falla afecta a KeePass 2.53.1 y cualquier bifurcación (la aplicación es de código abierto) basada en la aplicación KeePass 2.X original escrita en .NET. El investigador afirma que KeePassXC, Strongbox y KeePass 1.X no se ven afectados, entre otras posibles versiones.
El desarrollador de KeePass, Dominik Reichl, confirmó la existencia de la vulnerabilidad. Debería llegar una solución este junio con la versión 2.54. Sin embargo, el riesgo de que ocurra un ataque en la naturaleza es algo limitado.
El investigador dice que si su sistema ya está infectado con malware, este exploit podría facilitar que no se detecten cuando intenten robar su contraseña maestra, ya que no se requiere la ejecución de código. Sin embargo, si su sistema está limpio, entonces debería estar bien, ya que «nadie puede robar sus contraseñas de forma remota a través de Internet solo con este hallazgo», afirma el investigador.