Los desarrolladores del gestor de contraseñas de código abierto KeePass explican que una vulnerabilidad que permite a un atacante robar todas las contraseñas de los usuarios no es tan peligrosa. El caso es que los desarrolladores consideran que si un atacante controla su sistema, entonces este ya no es tu sistema.
A propósito, leer: ¿Es seguro utilizar un administrador de contraseñas en 2022? Y también: Los expertos han descubierto vulnerabilidades en administradores de contraseñas populares.
Quizás también te interese saber que Solo 26% de los usuarios aceptaron cambiar su contraseña cuando supieron que estaba comprometida.
KeePass es un administrador de contraseñas popular que permite administrar contraseñas utilizando una base de datos almacenada localmente en lugar de la nube como Ultimo pase o bitwarden. Para proteger dichas bases de datos locales, los usuarios pueden cifrarlos con una contraseña maestra para que el malware o un atacante que haya ingresado al sistema no pueda simplemente robar la base de datos y obtener acceso automáticamente a todos los datos almacenados allí..
Una vulnerabilidad encontrada en KeePass (CVE-2023-24055) y permite a los atacantes con acceso de escritura al sistema de destino modificar el archivo XML de configuración de KeePass y inyectarle un disparador malicioso que permitirá exportar la base de datos del administrador de contraseñas, incluidos todos los nombres de usuario almacenados allí y las contraseñas en formato de texto sin formato.
Eso es, la próxima vez que la víctima inicie KeePass e ingrese la contraseña maestra para abrir y descifrar la base de datos, el “marcador” para exportar funcionará, y todo el contenido de la base de datos se guardará en un archivo separado que los atacantes pueden leer y robar. En este caso, el proceso de exportación se ejecuta en segundo plano sin notificar al usuario y solicitar una contraseña maestra, lo que permite al atacante pasar desapercibido.
Peor aún, el Explotación PoC para CVE-2023-24055 ya ha sido publicado en el dominio público, lo que hace que sea mucho más fácil para los desarrolladores de malware actualizar sus ladrones de información y crear malware que pueda robar bases de datos KeePass de dispositivos comprometidos..
Después de que se conoció la vulnerabilidad, Los usuarios están pidiendo al equipo de desarrollo de KeePass que al menos agregue un confirmación obligatoria al administrador de contraseñas que se solicitaría antes de exportar automáticamente la base de datos, o publicar una versión de la aplicación que no contiene la función de exportación en absoluto.
También se propone añadir un bandera personalizada al programa para deshabilitar la exportación dentro de la base de datos KeePass real, que sólo se puede cambiar conociendo la contraseña maestra.
Sin embargo, El equipo de desarrollo de KeePass tiene su propio punto de vista sobre este asunto.. En su opinión, CVE-2023-24055 generalmente debe clasificarse como una vulnerabilidad, dado que un atacante que ya tiene acceso de escritura al dispositivo objetivo puede obtener información de la base de datos KeePass de muchas otras maneras.
De hecho, en el centro de ayuda de KeePass, el problema de acceder al archivo de configuración con permiso de escritura se ha mencionado repetidamente desde al menos Abril 2019. Y ahí, también, se informa que «Esta no es una vulnerabilidad de seguridad en KeePass.»