El administrador de contraseñas de código abierto KeePass ha refutado las afirmaciones de que tiene una importante falla de seguridad que permite el acceso indebido a las bóvedas de contraseñas de los usuarios.
KeePass está diseñado principalmente para uso individual, en lugar de ser un administrador de contraseñas de negocios. Se diferencia de muchos administradores de contraseñas populares en que no almacena su base de datos en servidores en la nube; en cambio, los almacena localmente en el dispositivo del usuario.
La vulnerabilidad recién descubierta, conocida como CVE-2023-24055 (se abre en una pestaña nueva) , permite a los piratas informáticos que ya han obtenido acceso al sistema de un usuario exportar su bóveda completa en texto sin formato alterando un archivo de configuración XML, exponiendo completamente todos sus nombres de usuario y contraseñas.
no es nuestro problema
Cuando la víctima abre KeePass e ingresa su contraseña maestra para acceder a su bóveda, esto activará la exportación de la base de datos a un archivo que los piratas informáticos pueden robar. El proceso se desarrolla silenciosamente en segundo plano, sin notificar a KeePass ni a su sistema operativo, por lo que no se requiere verificación o autenticación, lo que deja a la víctima sin saberlo.
usuarios en un Foro de Sourceforge (se abre en una pestaña nueva) han pedido a KeePass que implemente el requisito de que se ingrese su contraseña maestra antes de permitir que se realice la exportación, o que deshabilite la función de exportación de forma predeterminada y requiera la contraseña maestra para volver a habilitarla.
Ya se ha compartido en línea una explotación viable de esta vulnerabilidad, por lo que es solo cuestión de tiempo antes de que los desarrolladores de malware la desarrollen más y se generalice.
Si bien no niega la existencia de la vulnerabilidad CVE-2023-24055, el argumento de KeePass es que no puede proteger contra los actores de amenazas que ya tienen el control de su sistema. Dijeron que los actores de amenazas con acceso de escritura al sistema de un usuario podrían robar su bóveda de contraseñas a través de todo tipo de medios que no podrían evitar.
Se describió como un problema de "acceso de escritura al archivo de configuración" en abril de 2019, y KeePass afirmó que no es una vulnerabilidad relacionada con el administrador de contraseñas en sí.
Los desarrolladores dijeron que "Tener acceso de escritura al archivo de configuración de KeePass generalmente implica que un atacante puede realizar ataques mucho más poderosos que modificar el archivo de configuración (y estos ataques al final también pueden afectar a KeePass, independientemente de la protección del archivo de configuración)". .
“Estos ataques solo se pueden prevenir manteniendo el entorno seguro (utilizando un software antivirus, un cortafuegos, no abriendo archivos adjuntos de correo electrónico desconocidos, etc.). KeePass no puede ejecutarse mágicamente de forma segura en un entorno inseguro”, agregaron.
Si bien KeePass no está dispuesto a agregar protecciones adicionales para evitar la exportación no autorizada del archivo XML, existe una solución alternativa que los usuarios pueden probar. Si, en cambio, inician sesión como administrador de usuarios, pueden crear un archivo de configuración obligatorio, lo que evita la activación de la exportación. Primero deben asegurarse de que nadie más tenga acceso de escritura a los archivos y directorios de KeePass antes de activar la cuenta de administrador.
Sin embargo, incluso esto no es infalible, ya que los atacantes podrían ejecutar una copia del ejecutable de KeePass en otro directorio separado de donde se almacena el archivo de configuración forzado, lo que significa que, según KeePass, "esta copia no conoce el archivo de configuración forzado que se almacena en otro lugar, [por lo tanto] no se aplica ninguna configuración”.
¿Quiere bloquear su sistema herméticamente? Entonces deberías considerar usar las mejores llaves de seguridad