Une preuve de concept (PoC) a été mise à disposition pour une faille de sécurité affectant le gestionnaire de mots de passe KeePass qui pourrait être exploitée pour récupérer le mot de passe principal d’une victime en texte clair dans des circonstances spécifiques.
Le problème, suivi comme CVE-2023-32784affecte les versions 2.x de KeePass pour Windows, Linux et macOS, et est devrait être patché dans la version 2.54, qui devrait sortir au début du mois prochain.
« Outre le premier caractère du mot de passe, il est surtout capable de récupérer le mot de passe en clair », a déclaré le chercheur en sécurité « vdhoney », qui a découvert la faille et conçu un PoC, a dit. « Aucune exécution de code sur le système cible n’est requise, juste un vidage de mémoire. »
« Peu importe d’où vient la mémoire », a ajouté le chercheur, déclarant, « peu importe que l’espace de travail soit verrouillé ou non. Il est également possible de vider le mot de passe de la RAM après que KeePass ne fonctionne plus, bien que les chances que cela fonctionne diminuent avec le temps qu’il y a depuis. »
Il convient de noter que l’exploitation réussie de la faille repose sur la condition qu’un attaquant ait déjà compromis l’ordinateur d’une cible potentielle. Il nécessite également que le mot de passe soit tapé sur un clavier et non copié à partir d’un presse-papiers.
vdhoney a déclaré que la vulnérabilité était liée à la façon dont un champ de zone de texte personnalisé utilisé pour saisir le mot de passe principal gère les entrées de l’utilisateur. Plus précisément, il s’est avéré qu’il laissait des traces de chaque caractère saisi par l’utilisateur dans la mémoire du programme.
Cela conduit à un scénario dans lequel un attaquant pourrait vider la mémoire du programme et réassembler le mot de passe en clair à l’exception du premier caractère. Les utilisateurs sont invités à mettre à jour KeePass 2.54 dès qu’il sera disponible.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
La divulgation intervient quelques mois après une autre faille de gravité moyenne (CVE-2023-24055) était découvert dans le gestionnaire de mots de passe open source qui pourraient être potentiellement exploités pour récupérer des mots de passe en clair à partir de la base de données de mots de passe en tirant parti de l’accès en écriture au fichier de configuration XML du logiciel.
KeePass a entretenu que la « base de données de mots de passe n’est pas destinée à être sécurisée contre un attaquant qui a ce niveau d’accès au PC local ».
Il fait également suite aux conclusions des recherches sur la sécurité de Google qui détaillé une faille dans les gestionnaires de mots de passe tels que Bitwarden, Dashlane et Safari, qui peuvent être exploités pour remplir automatiquement les informations d’identification enregistrées dans des pages Web non fiables, entraînant d’éventuelles prises de contrôle de compte.
