KeePass: Potencial Vulnerabilidad Expone Claves En Texto Plano

Los investigadores de seguridad han descubierto una supuesta vulnerabilidad (discutida) que representaría una seria amenaza para los usuarios del popular administrador de contraseñas KeePass. Una falla, identificada como CVE-2023-24055, permitiría a los atacantes obtener contraseñas almacenadas en texto no cifrado. Esto sólo sucede en la configuración por defecto de la herramienta.

Con el video exploit de prueba de concepto (PoC) disponible, y en vista de que KeePass es uno de los administradores de contraseñas más populares a nivel mundial, esta falla de seguridad sería un objetivo jugoso para los atacantes.

Esta situación es muy discutida por el creador de Keepass debido la Ley Nº 1 de las Diez leyes inmutables de seguridad: "si un actor malicioso puede persuadirte para ejecutar su propio programa en tu computadora, ya no es tu computadora".

Como se explica en la investigación de Alex Hernandez y se detalla en un hilo dedicado de SourceForge, la (supuesta) vulnerabilidad en cuestión podría permitir que un atacante con acceso de escritura al archivo de configuración XML obtenga las contraseñas de texto claro agregando un disparador de exportación. El exploit PoC para CVE-2023-24055, un escáner para él y una lista de ejemplos fue publicado en el GitHub de Alex Hernandez.

En particular, el proveedor afirma que la base de datos de contraseñas no está diseñada para ser segura contra un atacante que tenga ese nivel de acceso a una PC local. Además, la lista de versiones afectadas de KeePass aún se disputa. Por ahora, se considera que KeePass v2.5x está afectado. Se insta a los usuarios a actualizar a la última versión 2.53 para evitar posibles compromisos.