O KeePass lançou a versão 2.54, corrigindo a vulnerabilidade
CVE-2023-32784
que permite a extração da senha mestra em texto claro da memória do aplicativo.
Ao criar um novo banco de dados de gerenciamento de senhas do KeePass, os usuários devem criar uma senha mestra, que é usada para criptografar o banco de dados.
Ao abrir o banco de dados no futuro, os usuários devem inserir essa chave mestra para descriptografá-lo e acessar as credenciais armazenadas nele.
No entanto, em maio de 2023, o pesquisador de segurança 'vdohney' divulgou uma vulnerabilidade e um exploit de prova de conceito que permitia extrair parcialmente a senha mestra KeepPass em texto claro de um despejo de memória do aplicativo.
"O problema está com o SecureTextBoxEx. Devido à forma como ele processa a entrada, quando o usuário digita a senha, haverá strings restantes", explicou vdohney em um relatório de bug do KeePass.
"Por exemplo, quando "Senha" é digitado, resultará nessas strings restantes: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d."
Este extrator permite aos usuários recuperar quase todos os caracteres da senha mestra, exceto os dois primeiros, mesmo que o espaço de trabalho do KeePass esteja bloqueado ou o programa tenha sido fechado recentemente.
Malware que rouba informações ou atores de ameaças podem usar essa técnica para despejar a memória do programa e enviá-la e o banco de dados do KeePass de volta para um servidor remoto para recuperação offline da senha em texto claro a partir do despejo de memória.
Depois de recuperar a senha, eles podem abrir o banco de dados de senhas do KeePass e acessar todas as credenciais de conta salvas.
O criador e principal desenvolvedor do KeePass, Dominik Reichl, reconheceu a falha e prometeu lançar uma correção em breve, tendo já implementado uma solução eficaz sendo testada em compilações beta.
Durante o fim de semana, Reichl lançou o KeePass 2.54 mais cedo do que o esperado, e todos os usuários do branch 2.x são fortemente recomendados a atualizar para a nova versão.
Os usuários do KeePass 1.x, Strongbox ou KeePassXC não são afetados pelo
CVE-2023-32784
e, portanto, não precisam migrar para uma versão mais recente.
Para corrigir a vulnerabilidade, o KeePass agora está usando uma API do Windows para definir ou recuperar dados de caixas de texto, impedindo a criação de strings gerenciadas que podem ser potencialmente despejadas da memória.
Reichl também introduziu "strings falsas" com caracteres aleatórios na memória do processo KeePass para tornar mais difícil recuperar fragmentos da senha da memória e combiná-los em uma senha mestra válida.
O KeePass 2.5.4 também introduz outros aprimoramentos de segurança, como mover 'Triggers', 'Global URL overrides' e 'Password generator profiles' para o arquivo de configuração obrigatória, que oferece segurança adicional contra ataques que modificam o arquivo de configuração do KeePass.
Se os gatilhos, substituições e perfis não forem armazenados na configuração obrigatória porque foram criados usando uma versão anterior, eles serão desativados automaticamente na versão 2.54, e os usuários terão que ativá-los manualmente no menu de configurações 'Ferramentas'.
Os usuários que não podem atualizar para o KeePass 2.54 são recomendados a redefinir sua senha mestra, excluir despejos de falhas, arquivos de hibernação e arquivos de troca que possam conter fragmentos de sua senha mestra ou realizar uma nova instalação do sistema operacional.
Lembre-se de que o problema afeta apenas as senhas digitadas nos formulários de entrada do programa, portanto, se as credenciais forem copiadas e coladas nas caixas, nenhum string de vazamento de dados será criado na memória.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...