Una vulnerabilidad en la herramienta de administración de contraseñas de código abierto KeePass podría permitir la recuperación de la contraseña maestra . La vulnerabilidad rastreada como CVE-2023-32784 tiene un exploit de prueba de concepto (PoC) disponible antes de su parche.
La rama KeePass 2.X para Windows, Linux y macOS es vulnerable a CVE-2023-32784.
¿Qué tan crítica es la vulnerabilidad CVE-2023-32784?
El puntaje CVSS de la vulnerabilidad CVE-2023-32784 aún no se ha anunciado , ya que actualmente está esperando el análisis en la base de datos nacional de vulnerabilidades (NVD) .
¿Cómo funciona la vulnerabilidad CVE-2023-32784 en KeePass?
CVE-2023-62784 existe en “SecureTextBoxEx”, un cuadro de texto personalizado en el software KeePass donde se ingresan la contraseña maestra y otras contraseñas durante la edición.
El exploit requiere un volcado de memoria . Podría ser un volcado de proceso de KeePass, un archivo de intercambio (pagefile.sys) , un archivo de hibernación (hiberfil.sys) o el volcado de RAM del sistema . La explotación exitosa de la vulnerabilidad permite recuperar la contraseña maestra de texto claro de un volcado de memoria. El problema persiste incluso si un espacio de trabajo está bloqueado o ya no se está ejecutando.
Según el investigador ( “vdohney” en GitHub) que identificó la vulnerabilidad, se genera una cadena en la memoria por cada carácter escrito, y es extremadamente difícil de eliminar después debido al funcionamiento de .NET.
Si se escribe la palabra “Contraseña” , por ejemplo, deja atrás las siguientes cadenas: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d . El exploit PoC escanea el volcado de memoria en busca de estos patrones y sugiere un carácter probable para cada posición en la contraseña. Sin embargo, el carácter inicial no se puede recuperar.
Prueba de concepto para CVE-2023-32784
KeePass 2.X Master Password Dumper , el exploit de prueba de concepto para CVE-2023-32784, está disponible en GitHub . Sin embargo, usar el exploit solo no es suficiente para extraer la contraseña de forma remota .
El investigador explica que la vulnerabilidad podría explotarse si su computadora ya está infectada con malware que se ejecuta con los permisos de su usuario o si alguien tuviera acceso a él.
¿Cómo evitar la explotación de la vulnerabilidad de KeePass?
CVE-2023-32784 se ha corregido en las versiones de prueba de KeePass 2.54. El lanzamiento oficial de la actualización está programado para julio de 2023 . Se recomienda que actualice a KeePass versión 2.54 o superior cuando estén disponibles.
El investigador que publicó la PoC también proporcionó los siguientes pasos como mitigación antes de la actualización:
Cambiar la contraseña maestra
Eliminar archivo de hibernación
Eliminar archivo de paginación/archivo de intercambio
Para evitar tallar, sobrescriba los datos eliminados en el HDD
Reinicia tu computadora
También puede sobrescribir el HDD y reinstalar el sistema operativo para evitar el problema.
Mejora de la seguridad con el seguimiento de vulnerabilidades en tiempo real de SOCRadar
La gestión de la superficie de ataque de SOCRadar realiza un seguimiento de las vulnerabilidades en tiempo real en toda la huella digital de su organización . Ayuda a los equipos de seguridad a priorizar las vulnerabilidades utilizando inteligencia contextual y facilita el proceso de aplicación de parches.
La plataforma también proporciona información sobre las tendencias de vulnerabilidad explotadas por los actores de amenazas. La inteligencia de vulnerabilidad dentro de la sección de inteligencia de amenazas cibernéticas mejora la conciencia y la defensa proactiva.
Fuente: socradar