Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnewsVulnerabilidad en Keepass permite obtener la contraseña maestra de memoria (Corregido!)

92


Por
segunda vez en los últimos meses, un investigador de seguridad descubrió una vulnerabilidad en el
administrador de contraseñas de código abierto
KeePass,
ampliamente utilizado.

Este afecta a las versiones de KeePass 2.X para Windows, Linux y macOS, y
brinda a los atacantes una forma de recuperar la contraseña maestra de
un objetivo en texto sin cifrar desde un volcado de memoria, incluso cuando el
espacio de trabajo del usuario está cerrado.

Si bien el mantenedor de KeePass ha desarrollado una solución para la falla,
no estará disponible en general hasta el lanzamiento de la versión 2.54
(probablemente a principios de junio). Mientras tanto, el investigador que
descubrió la vulnerabilidad, identificada como
CVE-2023-32784, ya ha publicado una
prueba de concepto en GitHub.


«No se requiere la ejecución de código en el sistema de destino, solo un
volcado de memoria»
, dijo el investigador de seguridad «vdhoney» en GitHub.
«No importa de dónde provenga la memoria: puede ser el volcado del proceso,
el archivo de intercambio (pagefile.sys), el archivo de hibernación
(hiberfil.sys) o el volcado de RAM de todo el sistema».

Un atacante puede recuperar la contraseña maestra incluso si el usuario local
ha bloqueado el espacio de trabajo e incluso después de que KeePass ya no se
esté ejecutando, dijo el investigador.


Vdhoney describió la vulnerabilidad como una que solo un atacante con acceso
de lectura al sistema de archivos o RAM del host podría explotar.

Sin embargo, a menudo eso no requiere que un atacante tenga acceso físico a un
sistema. Los atacantes remotos habitualmente obtienen dicho acceso en estos
días a través de la explotación de vulnerabilidades, ataques de phishing,
troyanos de acceso remoto y otros métodos.


«A menos que espere ser un objetivo específico de alguien sofisticado,
mantendría la calma»
, agregó el investigador.

Vdhoney dijo que la vulnerabilidad tiene que ver con la forma en que un cuadro
personalizado de KeePass, llamado «SecureTextBoxEx» (sic), permite
ingresar contraseñas. Cuando el usuario escribe una contraseña, quedan cadenas
que le permiten a un atacante volver a ensamblarla en texto sin cifrar, dijo
el investigador.
«Por ejemplo, cuando se escribe ‘password’, se obtendrán estas cadenas
sobrantes: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d»
.

Parche a principios de junio

En un hilo de
discusión en SourceForge, el mantenedor de KeePass, Dominik Reichl, reconoció el problema y dijo que
había implementado dos mejoras en el administrador de contraseñas para
solucionar el problema.

Las mejoras se incluirán en la próxima versión de KeePass (2.54), junto con
otras características relacionadas con la seguridad, dijo Reichel.
Inicialmente indicó que sucedería en algún momento de los próximos dos meses,
pero luego revisó la fecha estimada de entrega de la nueva versión a
principios de junio.

Problemas generales con los gestores de contraseñas

Es probable que la nueva vulnerabilidad de KeePass mantenga vivas las
discusiones sobre la seguridad del administrador de contraseñas durante más
tiempo. En los últimos meses, ha habido varios incidentes que han resaltado
problemas de seguridad relacionados con las principales tecnologías de gestión
de contraseñas. En diciembre, por ejemplo,
LastPass reveló un incidente
en el que un actor de amenazas, utilizando las credenciales de una intrusión
anterior en la empresa, accedió a los datos del cliente almacenados con un
proveedor de servicios en la nube de terceros.

En enero, los
investigadores de Google advirtieron
sobre los administradores de contraseñas, como Bitwarden, Dashlane y Safari
Password Manager, que completan automáticamente las credenciales de los
usuarios sin que se les solicite ingresar a páginas que no son de confianza.

En enero,
Bitwarden y 1Password informaron
haber observado anuncios pagados en los resultados de búsqueda de Google que
dirigían a los usuarios que abrían los anuncios a sitios para descargar
versiones falsificadas de sus administradores de contraseñas.

Mientras tanto, los actores de amenazas han intensificado los ataques contra
los productos de administración de contraseñas, probablemente como resultado
de tales problemas.

Actualización 03/06: KeePass ya ha publicado la versión 2.54 que corrige el problema.

Fuente:
DarkReading



Source link

Los comentarios están cerrados.