KeePass cuestiona la vulnerabilidad que permite el robo sigiloso de contraseñas


llave robada

El equipo de desarrollo detrás del software program de administración de contraseñas de código abierto KeePass está disputando lo que se describe como una vulnerabilidad recién descubierta que permite a los atacantes exportar sigilosamente toda la base de datos en texto sin formato.

KeePass es un administrador de contraseñas de código abierto muy fashionable que le permite administrar sus contraseñas utilizando una base de datos almacenada localmente, en lugar de una alojada en la nube, como LastPass o Bitwarden.

Para proteger estas bases de datos locales, los usuarios pueden cifrarlas con una contraseña maestra para que el malware o un actor de amenazas no pueda simplemente robar la base de datos y obtener acceso automáticamente a las contraseñas almacenadas en ella.

La nueva vulnerabilidad ahora se rastrea como CVE-2023-24055y permite a los actores de amenazas con acceso de escritura al sistema de un objetivo alterar el archivo de configuración XML de KeePass e inyectar un activador malicioso que exportaría la base de datos, incluidos todos los nombres de usuario y contraseñas en texto sin cifrar.

La próxima vez que el objetivo inicie KeePass e ingrese la contraseña maestra para abrir y descifrar la base de datos, se activará la regla de exportación y el contenido de la base de datos se guardará en un archivo que los atacantes pueden luego filtrar a un sistema bajo su management.

Sin embargo, este proceso de exportación se inicia en segundo plano sin que el usuario sea notificado o KeePass solicite que se ingrese la contraseña maestra como confirmación antes de exportar, lo que permite que el actor de amenazas obtenga acceso silencioso a todas las contraseñas almacenadas.

Después de que esto se informó y se asignó un CVE-ID, los usuarios le pidieron al equipo de desarrollo detrás de KeePass que añadir un mensaje de confirmación antes de exportaciones de bases de datos silenciosas como la que se activa a través de un archivo de configuración modificado malintencionadamente o proporcionar una versión de la aplicación que viene sin la función de exportación.

Otra solicitud es agregar un configurable bandera para deshabilitar la exportación dentro de la base de datos actual de KeePass, que solo podría cambiarse conociendo la contraseña maestra.

Desde que se asignó CVE-2023-24055, ya se ha compartido en línea un exploit de prueba de concepto, lo que probablemente facilite a los desarrolladores de malware actualizar a los ladrones de información con la capacidad de volcar y robar el contenido de las bases de datos de KeePass en dispositivos comprometidos.

Vulnerabilidad disputada por los desarrolladores de KeePass

Mientras que los equipos del CERT de Países Bajos y Bélgica también han emitido avisos de seguridad con respecto a CVE-2023-24055, el equipo de desarrollo de KeePass está discutiendo que esto no debe clasificarse como una vulnerabilidad dado que los atacantes con acceso de escritura al dispositivo de un objetivo también pueden obtener la información contenida en la base de datos de KeePass a través de otros medios.

De hecho, una página de “Problemas de seguridad” en el Centro de ayuda de KeePass ha estado describiendo el “Acceso de escritura al archivo de configuración“problema desde al menos abril 2019 como “no es realmente una vulnerabilidad de seguridad de KeePass”.

Si el usuario instaló KeePass como un programa common y los atacantes tienen acceso de escritura, también pueden “realizar varios tipos de ataques”. Los actores de amenazas también pueden reemplazar el ejecutable KeePass con malware si el usuario ejecuta la versión portátil.

“En ambos casos, tener acceso de escritura al archivo de configuración de KeePass generalmente implica que un atacante puede realizar ataques mucho más poderosos que modificar el archivo de configuración (y estos ataques al closing también pueden afectar a KeePass, independientemente de la protección del archivo de configuración), ” explican los desarrolladores de KeePass.

“Estos ataques solo se pueden prevenir manteniendo el entorno seguro (utilizando un software program antivirus, un cortafuegos, no abriendo archivos adjuntos de correo electrónico desconocidos, and so forth.). KeePass no puede ejecutarse mágicamente de forma segura en un entorno inseguro”.

Sin embargo, incluso si los desarrolladores de KeePass no brindan a los usuarios una versión de la aplicación que aborde la exportación a texto sin formato a través del problema de los disparadores, aún puede proteger su base de datos iniciando sesión como administrador del sistema y crear un archivo de configuración forzado.

Opciones de KeePass deshabilitadas a través de la configuración forzada
Opciones de KeePass deshabilitadas a través de la configuración forzada (KeePass)

Este tipo de archivo de configuración tiene prioridad sobre las configuraciones descritas en los archivos de configuración globales y locales, incluidos los nuevos activadores agregados por actores malintencionados, lo que mitiga el problema CVE-2023-24055.

Antes de usar un archivo de configuración obligatorio, también debe asegurarse de que los usuarios regulares del sistema no tengan acceso de escritura a ningún archivo/carpeta en el directorio de la aplicación KeePass.

Y también hay una cosa más que podría permitir a los atacantes eludir las configuraciones forzadas: usar un ejecutable de KeePass iniciado desde otra carpeta distinta a la que se guardó el archivo de configuración forzada.

“Tenga en cuenta que un archivo de configuración forzado solo se aplica al programa KeePass en el mismo directorio”, cube el equipo de desarrollo de KeePass,

“Si el usuario ejecuta otra copia de KeePass sin un archivo de configuración obligatorio, esta copia no conoce el archivo de configuración obligatorio que se almacena en otro lugar, es decir, no se aplican configuraciones”.

Related Articles

Cómo usar publicaciones locales para obtener backlinks de calidad

Crear un sitio internet fantástico para su pequeña empresa es...

Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Same Category

Cómo usar publicaciones locales para obtener backlinks de calidad

Crear un sitio internet fantástico para su pequeña...

Cómo recuperar una contraseña olvidada de Mac

de manzana macOS es seguro sistema operativo, y...
spot_img

Stay in touch!

Follow our Instagram