Vulnerabilidad en el gestor de contraseñas KeePass

Se ha revelado una nueva vulnerabilidad rastreada como CVE-2023-24055 en el gestor de contraseñas KeePass, afectando hasta la versión 2.53 (en instalación predeterminada). Esta falla permite a un actor malicioso, con acceso de escritura al archivo de configuración “KeePass.config.xml”, obtener las contraseñas de texto sin cifrar agregando un disparador de exportación (export trigger). El proveedor ha indicado que la base de datos de contraseñas no está diseñada para ser segura contra un atacante que tenga ese nivel de acceso a la PC local.

Si instaló KeePass usando el programa de instalación, el archivo de configuración se almacena en el directorio de datos de la aplicación del usuario en «%APPDATA%\KeePass», que se encuentra dentro del directorio de perfil de usuario «%USERPROFILE%». En este caso, tener acceso de escritura al archivo de configuración de KeePass suele ser equivalente a tener acceso de escritura al directorio del perfil de usuario por lo que puede realizar varios tipos de ataques.

Si el usuario está utilizando la versión portátil de KeePass, el archivo de configuración se almacena en el directorio de la aplicación que contiene el archivo «KeePass.exe». En este caso, tener acceso de escritura al archivo de configuración de KeePass suele ser equivalente a tener acceso de escritura al directorio de la aplicación. Permitiendo a un atacante reemplazar el archivo «KeePass.exe» por algún malware.

Para prevenir esta vulnerabilidad los usuarios no deben tener acceso de escritura a ningún archivo/carpeta en el directorio de la aplicación KeePass (incluido el archivo de configuración obligatorio). Debe asegurarse de esto, utilizando una lista de control de acceso adecuada; en el Explorador de Windows, haga clic con el botón derecho en la carpeta de la aplicación KeePass → ‘Propiedades’ → pestaña ‘Seguridad’.

Todas las características de seguridad en KeePass protegen contra amenazas genéricas como registradores de teclas, monitores de portapapeles, monitores de control de contraseñas, etc. Sin embargo, si asumimos que hay un programa spyware ejecutándose en el sistema que está especializado en atacar KeePass, las mejores características de seguridad fallarán.

Prueba de concepto

Actualmente existe una prueba de concepto pública que incrementa el riesgo de esta vulnerabilidad. Si un atacante inyecta este disparador (trigger) la víctima abrirá el KeePass como actividad normal, guardando los cambios, el disparador se ejecutará en segundo plano extrayendo las credenciales al servidor del atacante.

El activador exportará la base de datos de Keepass en formato KeePass XML (2.x) incluidas todas las credenciales (texto sin cifrar) a la siguiente ruta:

  • c:\Users\John\AppData\Local\Temp\exploit.xml

Una vez exportado el archivo, se podría definir una segunda acción para exfiltrar los datos XML usando Powershell.exe y codificados en base64, de esta manera, los datos se filtrarán al servidor web del atacante.

Un Workaround para esta vulnerabilidad es deshabilitar la opción de «Export» en el Keepass, de esta forma el PoC no funciona. Para deshabilitar esta opción se debe: hacer click en Tools → Options → Policy → Desactivar la casilla Export.

Recomendaciones

  • Aplicar el Workaround, es decir deshabilitar la opción “export” en el KeePass.
  • Estar pendiente de las actualizaciones en la página del proveedor.

Referencias