Durante el fin de semana, la herramienta de administración de contraseñas KeePass se actualizó para abordar una vulnerabilidad de alta gravedad que permitía a los actores de amenazas filtrar la contraseña maestra en texto sin cifrar.
Se recomienda a los usuarios con las versiones 2.x de KeePass que lleven sus instancias a la versión 2.54 para eliminar la amenaza. Aquellos que usan KeePass 1.x, Strongbox o KeePass XC no son vulnerables a la falla y, por lo tanto, no necesitan migrar a la nueva versión, si no lo desean.
Aquellos que no puedan aplicar el parche por cualquier motivo deben restablecer su contraseña maestra, eliminar los volcados de memoria y los archivos de hibernación, e intercambiar archivos que puedan contener partes de su contraseña maestra. En casos más extremos, podrían reinstalar su sistema operativo.
Cuerdas sobrantes
A mediados de mayo, se anunció que la herramienta de administración de contraseñas era vulnerable a CVE-2023-32784, una falla que permitía a los actores de amenazas extraer parcialmente la contraseña maestra de KeePass del volcado de memoria de la aplicación. La contraseña maestra vendría en texto sin cifrar. La vulnerabilidad fue descubierta por un investigador de amenazas con el alias "vdohney", quien también publicó una prueba de concepto para la falla.
Como explicó el investigador, el problema se encontró en SecureTextBoxEx: "Debido a la forma en que procesa la entrada, cuando el usuario escribe la contraseña, quedarán cadenas sobrantes", dijeron. “Por ejemplo, cuando se escribe “Contraseña”, aparecerán estas cadenas sobrantes: •a, ••s, •••s, ••••w, •••••o, ••••••. r, •••••••d.”
En consecuencia, un atacante podría recuperar casi todos los caracteres de la contraseña maestra, incluso si el espacio de trabajo está bloqueado o el programa se cerró recientemente.
En teoría, un actor de amenazas podría implementar un ladrón de información o una variante de malware similar para volcar la memoria del programa y enviarla, junto con la base de datos del administrador de contraseñas, de regreso a un servidor bajo el control del atacante.
A partir de ahí, podrían extraer la contraseña maestra sin verse presionados por el tiempo. Con los administradores de contraseñas, se utiliza una contraseña maestra para descifrar y acceder a la base de datos que contiene todas las demás contraseñas.
Vía: BleepingComputer