S’ha publicat una «proof-of-concept» (PoC), o «prova de concepte» en català, d’un error de seguretat que afecta el gestor de contrasenyes KeePass i que podria aprofitar-se per recuperar la contrasenya mestra de la víctima en text clar en determinades circumstàncies.

El problema, identificat com CVE-2023-32784, afecta les versions 2.x de KeePass per Windows, Linux i macOS, i s’espera que es pugui arreglar amb la versió 2.54, que probablement serà accessible a principis del pròxim mes.

L’investigador de seguretat anomenat com a Vdohney i el qual va descobrir l’error, fou qui va idear el PoC. Esmentava que a part del primer caràcter de la contrasenya, a grans trets, la major part es pot recuperar en text pla i no es requereix de l’execució de codi al sistema de destí, simplement un bolcat a la memòria.

Així doncs, no és important d’on provingui la memòria ni importa si l’espai de treball està bloquejat o no. En aquesta línia, és possible bolcar la contrasenya des de la RAM després que KeePass ja no s’estigui executant, encara que la probabilitat que això funcioni disminueix amb el temps que hagi passat.

Val la pena assenyalar que l’explotació reeixida de l’error es basa en la condició que un atacant ja ha compromès l’ordinador d’una potencial víctima. També requereix que la contrasenya s’escrigui en un teclat i no es copiï al porta-retalls del dispositiu.

Vdohney va dir que la vulnerabilitat té a veure amb la forma en què un camp de quadre de text personalitzat utilitzat per tal d’introduir la contrasenya mestra gestiona l’entrada de l’usuari. En concret, s’ha descobert que deixa rastres de cada caràcter que escriu l’usuari a la memòria del programa.

Això porta a un escenari en el qual un atacant podria bolcar la memòria del programa i reacoblar la contrasenya en text pla amb l’excepció del primer caràcter. Es recomana als usuaris que actualitzin a KeePass 2.54 quan estigui disponible.

La revelació es produeix uns mesos després que es descobrís un altre error de gravetat denominat com: CVE-2023-24055. Aquest, en el gestor de contrasenyes de codi obert podia ser explotat per recuperar credencials en text clar de la base de dades aprofitant l’accés d’escriptura a l’arxiu de configuració XML del programari.

KeePass ha mantingut que la base de dades de contrasenyes no està pensada per ser segura contra un atacant que tingui aquest nivell d’accés al PC local.

També, continua amatent de les troballes sorgides de la recerca de seguretat que Google va detallar sobre un defecte als gestors de credencials com ara Bitwarden, Dashlane o Safari, que pot ser abusat per auto-completar les credencials guardades en pàgines web que no són de confiança i la qual cosa comporta possibles furts de comptes.