Ciberseguridad 360 | El exploit KeePass ayuda a recuperar la contraseña maestra de texto sin cifrar, la solución llegará pronto

El popular administrador de contrase�as KeePass es vulnerable a la extracci�n de la contrase�a maestra de la memoria de la aplicaci�n, lo que permite a los atacantes que comprometen un dispositivo recuperar la contrase�a incluso con la base de datos bloqueada.

El problema fue descubierto por un investigador de seguridad conocido como 'vdohney', quien public� una herramienta de prueba de concepto que permite a los atacantes extraer la contrase�a maestra de KeePass de la memoria como prueba de concepto (PoC).

Los administradores de contrase�as permiten a los usuarios crear contrase�as �nicas para cada cuenta en l�nea y almacenar las credenciales en una base de datos f�cil de buscar o en una b�veda de contrase�as, para que no tenga que recordar cada una. Sin embargo, para asegurar adecuadamente esta b�veda de contrase�as, los usuarios deben recordar la �nica contrase�a maestra utilizada para desbloquearla y acceder a las credenciales almacenadas.

Esta contrase�a maestra encripta la base de datos de contrase�as de KeePass, evitando que se abra o lea sin ingresar primero la contrase�a. Sin embargo, una vez que la contrase�a maestra se ve comprometida, un actor de amenazas puede acceder a todas las credenciales almacenadas en la base de datos.

Por lo tanto, para que un administrador de contrase�as est� debidamente protegido, es fundamental que los usuarios protejan la contrase�a maestra y no la compartan con nadie m�s.

Una nueva vulnerabilidad de KeePass rastreada como CVE-2023-3278 hace posible recuperar la contrase�a maestra de KeePass, adem�s de los primeros uno o dos caracteres, en forma de texto no cifrado, independientemente de si el espacio de trabajo de KeePass est� bloqueado o, posiblemente, incluso si el programa est� cerrado.

"KeePass Master Password Dumper es una herramienta simple de prueba de concepto que se utiliza para volcar la contrase�a maestra de la memoria de KeePass. Adem�s del primer car�cter de la contrase�a, en su mayor�a puede recuperar la contrase�a en texto sin formato", advierte el investigador de seguridad en GitHub. p�gina para la herramienta de explotaci�n.

"No se requiere la ejecuci�n de c�digo en el sistema de destino, solo un volcado de memoria. No importa de d�nde provenga la memoria: puede ser el volcado del proceso, el archivo de intercambio (pagefile.sys), el archivo de hibernaci�n (hiberfil.sys) o RAM volcado de todo el sistema. No importa si el espacio de trabajo est� bloqueado o no ".

La falla existe porque el software usa un cuadro de entrada de contrase�a personalizado llamado "SecureTextBoxEx", que deja rastros de cada car�cter que el usuario escribe en la memoria.

"KeePass 2.X usa un cuadro de texto personalizado para ingresar la contrase�a, SecureTextBoxEx. Este cuadro de texto no solo se usa para ingresar la contrase�a maestra, sino tambi�n en otros lugares de KeePass, como los cuadros de edici�n de contrase�as (por lo que el ataque tambi�n puede utilizarse para recuperar su contenido)", explica vdohney.

La vulnerabilidad afecta a la �ltima versi�n de KeePass, 2.53.1, y dado que el programa es de c�digo abierto, es probable que las bifurcaciones del proyecto se vean afectadas.

KeePass 1.X, KeePassXC y Strongbox no parecen verse afectados por CVE-2023-32784, seg�n el desarrollador de la herramienta de volcado de contrase�as.

Adem�s, aunque el PoC se prob� en Windows, el exploit tambi�n deber�a funcionar para Linux y macOS, con algunas modificaciones, ya que el problema no es espec�fico del sistema operativo sino de c�mo KeePass maneja la entrada del usuario.

F�cil de explotar

Dado que se deben recuperar los volcados de memoria para recuperar la contrase�a maestra de KeePass, la explotaci�n de CVE-2023-32784 requiere acceso f�sico o infecci�n de malware en la m�quina de destino.

Sin embargo, el malware que roba informaci�n podr�a verificar r�pidamente si KeePass existe en una computadora o si se est� ejecutando y, de ser as�, volcar la memoria del programa y enviarla junto con la base de datos de KeePass al atacante para que recupere sin conexi�n la contrase�a de texto claro del volcado de memoria.

BleepingComputer prob� la herramienta 'keepass-password-dumper' de vdohney instalando KeePass en un dispositivo de prueba y creando una nueva base de datos con la contrase�a maestra 'password123', como se muestra a continuaci�n.

Luego bloqueamos nuestro espacio de trabajo de KeePass, lo que impide el acceso a �l a menos que ingrese la contrase�a maestra nuevamente.

En nuestras pruebas, puede usar Process Explorer para volcar la memoria del proyecto KeePass, pero requiere un volcado de memoria completa, y no un minivolcado, para funcionar correctamente. No se necesitan privilegios elevados para volcar la memoria de los procesos.

Despu�s de compilar la herramienta de vdohney con Visual Studio, la ejecutamos contra nuestro volcado de memoria y r�pidamente recuper� la mayor parte de nuestra contrase�a de texto simple, con solo las dos primeras letras faltantes.

Si bien esta no es la contrase�a completa, ser�a bastante f�cil determinar qu� caracteres faltan.

El investigador tambi�n advierte que las contrase�as maestras utilizadas en el pasado pueden permanecer en la memoria, por lo que pueden recuperarse incluso si KeePass ya no se ejecuta en la computadora violada.

Arreglo pr�ximamente

El desarrollador de KeePass, Dominik Reichl, recibi� el informe de error y prometi� implementar una soluci�n para CVE-2023-32784 en la versi�n 2.54, prevista para julio de 2023.

Sin embargo, Reichl le dijo a BleepingComputer que es m�s probable que la versi�n 2.54 de KeePass se lance a los usuarios en aproximadamente dos semanas, por lo que deber�a estar disponible a principios de junio.

Basado en una discusi�n en la que Reichl desarroll� sus pensamientos sobre la falla de seguridad y las posibles estrategias de mitigaci�n, se mencionan dos mejoras de seguridad para la pr�xima versi�n de KeePass:

Realice llamadas API directas para obtener/establecer el texto del cuadro de texto, evitando la creaci�n de cadenas administradas en la memoria que pueden filtrar secretos.

Cree fragmentos ficticios que contengan caracteres aleatorios en la memoria del proceso que tendr�n aproximadamente la misma longitud que la contrase�a maestra del usuario, ofuscando la clave real.

KeePass 2.54 para Windows tendr� ambos, mientras que las versiones de macOS y Linux solo obtendr�n la segunda mejora.

El desarrollador ha lanzado una versi�n de prueba con las nuevas mejoras de seguridad que mitigan el problema, por lo que aquellos que pueden aceptar un comportamiento inestable pueden obtenerlo desde aqu�

El creador del PoC ha confirmado que ya no puede reproducir el ataque con las dos mejoras de seguridad en su lugar, por lo que la soluci�n parece ser efectiva.

Incluso despu�s del lanzamiento de la nueva versi�n, la contrase�a maestra a�n puede almacenarse en archivos de memoria. El investigador advierte que para estar 100% seguro de que no est� al acecho en el sistema, deber� eliminar los archivos de intercambio e hibernaci�n de su sistema, formatear su disco duro usando el modo "sobrescribir datos" para evitar la recuperaci�n de datos y hacer una nueva Instalaci�n del sistema operativo.

Sin embargo, para la mayor�a, reiniciar la computadora, borrar el archivo de intercambio y los archivos de hibernaci�n, y no usar KeePass hasta que se publique la nueva versi�n son medidas de seguridad razonables por el momento.

Incluso entonces, para obtener la mejor protecci�n, tenga mucho cuidado de no descargar programas de sitios no confiables y tenga cuidado con los ataques de phishing que pueden infectar sus dispositivos, brindando a los actores de amenazas acceso remoto a su dispositivo y su base de datos KeePass.

Fuente: BC.