Una vulnerabilidad en KeePass permite robar las contraseñas de los usuarios

Last Updated on febrero 7, 2023 by Daniel Cepeda

Los desarrolladores del gestor de contraseñas KeePass explican que una vulnerabilidad que permite a un atacante robar todas las contraseñas de los usuarios no es tan peligrosa. El hecho es que los desarrolladores consideran que si un atacante controla tu sistema, ya no es tu sistema.

KeePass es un popular gestor de contraseñas que permite gestionarlas utilizando una base de datos almacenada localmente en lugar de una basada en la nube, a diferencia de LastPass o Bitwarden.

Para proteger estas bases de datos locales, los usuarios pueden cifrarlas con una contraseña maestra, de modo que un malware o un intruso no pueda simplemente robar la base de datos y acceder automáticamente a todos los datos allí almacenados.

La vulnerabilidad descubierta en KeePass (CVE-2023-24055) permite a atacantes con acceso de escritura al sistema de destino modificar el archivo de configuración XML de KeePass e inyectar en él un disparador malicioso para exportar la base de datos del gestor de contraseñas, incluidos todos los nombres de usuario y contraseñas allí almacenados en formato de texto plano.

Es decir, la próxima vez que una víctima inicie KeePass e introduzca la contraseña maestra para abrir y descifrar la base de datos, se activará el “marcador” de exportación y todo el contenido de la base de datos se guardará en un archivo independiente, que los atacantes podrán leer y robar.

El proceso de exportación se ejecuta en segundo plano sin notificar al usuario ni pedirle que introduzca la contraseña maestra, lo que permite al atacante pasar desapercibido.

Peor aún, el exploit PoC para CVE-2023-24055 ya se ha publicado en el dominio público, lo que facilita mucho a los desarrolladores de malware la actualización de sus infostealers y la creación de malware capaz de robar bases de datos KeePass de dispositivos comprometidos.

De hecho, el centro de ayuda de KeePass menciona el problema del acceso al archivo de configuración con derecho de escritura en repetidas ocasiones, al menos desde abril de 2019.

Y también informa de que “no se trata de una vulnerabilidad de seguridad en KeePass”.

KeePass

Tener acceso de escritura al archivo de configuración de KeePass generalmente significa que un atacante también puede realizar ataques más poderosos, en lugar de simplemente cambiar el archivo de configuración (y estos ataques eventualmente podrán afectar a KeePass, independientemente de la protección del archivo de configuración).

Estos ataques sólo pueden evitarse manteniendo la seguridad del entorno (utilizando programas antivirus, cortafuegos, no abriendo archivos adjuntos de correos electrónicos desconocidos, etc.). Y KeePass no puede funcionar con seguridad en un entorno inseguro de alguna manera mágica.

Tras conocerse la vulnerabilidad, los usuarios están pidiendo al equipo de desarrollo de KeePass que al menos añada una confirmación obligatoria al gestor de contraseñas que se solicitaría antes de exportar automáticamente la base de datos, o que publique una versión de la aplicación que no incluya ninguna función de exportación.

También sugieren añadir una bandera configurable para desactivar las exportaciones dentro de la base de datos real de KeePass, que sólo podría cambiarse conociendo la contraseña maestra.

Sin embargo, el equipo de desarrollo de KeePass tiene su propio punto de vista al respecto. En su opinión, CVE-2023-24055 debería clasificarse como una vulnerabilidad en absoluto, dado que un atacante que ya tiene acceso de escritura al dispositivo de destino podría obtener información de la base de datos de KeePass de muchas otras maneras.

Anteriormente

NoticiasAndroid 14 prohibirá la instalación de apps antiguas

NoticiasUn problema no corregido en KeePass permite revelar la contraseña maestra