Durante el fin de semana, la herramienta de administración de contraseñas KeePass se actualizó para abordar una vulnerabilidad de alta gravedad que permitía a los actores de amenazas filtrar la contraseña maestra en texto sin cifrar.
Se recomienda a los usuarios con las versiones 2.x de KeePass que actualicen sus instancias a la versión 2.54 para eliminar la amenaza. Aquellos que usan KeePass 1.x, Strongbox o KeePass XC no son vulnerables a la falla y, por lo tanto, no necesitan migrar a la nueva versión, si no lo desean.
Aquellos que no puedan aplicar el parche por cualquier motivo deben restablecer su contraseña maestra, eliminar los archivos de hibernación y los archivos de hibernación, e intercambiar archivos que podrían contener fragmentos de su contraseña maestra. En casos más extremos, podrían reinstalar su sistema operativo.
cuerdas sobrantes
A mediados de mayo, se anunció que la herramienta de administración de contraseñas era vulnerable a CVE-2023-32784, una falla que permitía a los actores de amenazas extraer parcialmente la contraseña maestra de KeePass del volcado de memoria de la aplicación. La contraseña maestra vendría en texto claro. La vulnerabilidad fue descubierta por un investigador de amenazas con el alias «vdohney», quien también lanzó una prueba de concepto para la falla.
Según explicó el investigador, el problema se encontró en SecureTextBoxEx: “Debido a la forma en que procesa la entrada, cuando el usuario ingresa la contraseña, quedarán cadenas sobrantes”, dijeron. «Por ejemplo, cuando se escribe «Contraseña», se obtendrán estas cadenas sobrantes: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d».
En consecuencia, un atacante podría recuperar casi todos los caracteres de la contraseña maestra, incluso si el espacio de trabajo está bloqueado o si el programa se cerró recientemente.
En teoría, un actor de amenazas podría implementar un ladrón de información o una variante de malware similar para volcar la memoria del programa y enviarlo, junto con la base de datos del administrador de contraseñas, de regreso a un servidor bajo el control del atacante.
A partir de ahí, podrían exfiltrar la contraseña maestra sin estar presionados por el tiempo. Con los administradores de contraseñas, se usa una contraseña maestra para descifrar y acceder a la base de datos que contiene todas las demás contraseñas.
Vía: BleepingComputer