Posté le mai 18, 2023 à 5:49
LA FAILLE DE KEEPASS PEUT ÊTRE EXPLOITÉE POUR EXPOSER LE MOT DE PASSE MAÎTRE
Des chercheurs ont détecté une vulnérabilité dans le populaire gestionnaire de mots de passe KeePass. La vulnérabilité est présente dans le mot de passe maître existant dans la mémoire de l’application, et elle permet aux attaquants qui ont compromis un appareil de récupérer ce mot de passe même dans les cas où la base de données n’est pas disponible.
Une vulnérabilité de KeePass permet d’extraire le mot de passe maître
Le problème en question a été détecté par un chercheur en cybersécurité connu sous le nom de « vdohney ». Le chercheur a créé une fonctionnalité de preuve de concept qui peut être utilisée par les hackers pour accéder au mot de passe maître de KeePass à partir de la mémoire en tant que PoC.
Le gestionnaire de mots de passe permet également aux utilisateurs de générer des mots de passe uniques pour chaque transaction en ligne, et les informations d’identification peuvent ensuite être stockées dans une base de données facile à consulter ou dans un coffre-fort de mots de passe. Les utilisateurs doivent avoir accès à un seul mot de passe principal pour pouvoir accéder aux informations stockées.
Le mot de passe maître crypte également la base de données de mots de passe de KeePass et garantit qu’elle ne peut pas être ouverte ou lue sans avoir saisi le mot de passe au préalable. Cependant, une fois le mot de passe maître compromis, l’acteur de la menace aura accès aux données stockées dans la base de données.
La vulnérabilité récemment découverte dans KeePass est répertoriée sous le nom de CVE-2023-3278. Elle permet de récupérer le mot de passe principal de KeePass, mais sans le premier ou les deux premiers caractères. Le mot de passe maître est récupéré en clair, même si l’espace de travail de KeePass a été verrouillé ou si le programme a été fermé.
Un chercheur en sécurité sur la page GitHub pour l’outil d’exploitation a commenté la situation en disant : « KeePass Master Password Dumper est un simple outil de démonstration de concept utilisé pour extraire le mot de passe maître de la mémoire de KeePass. En dehors du premier caractère du mot de passe, il est le plus à même de récupérer le mot de passe en clair ».
La vulnérabilité est présente parce que le logiciel utilise une boîte de saisie de mot de passe personnalisée appelée « SecureTextBoxEx » qui laisse une trace pour chaque caractère que l’utilisateur a saisi dans la mémoire. La zone de texte est utilisée pour la saisie du mot de passe principal et à d’autres endroits, tels que les zones d’édition du mot de passe.
La faille de KeePass est facile à exploiter
Pour récupérer le mot de passe maître de KeePass, il faut extraire les données de la mémoire. L’exploitation de la faille CVE-2023-32784 nécessitera un accès physique, et la machine cible doit également être infectée par un logiciel malveillant.
Cependant, un acteur de la menace peut utiliser un logiciel malveillant voleur d’informations pour évaluer si KeePass est présent sur un ordinateur ou s’il s’exécute sur un système. S’il est exécuté sur un système, la mémoire du programme est vidée puis envoyée. La base de données de KeePass sera aussi renvoyée à l’attaquant pour la récupération hors ligne d’un mot de passe en clair dans la mémoire.
Le développeur de KeePass, Dominik Reichl, est au courant de cette vulnérabilité. M. Reichl a déclaré avoir obtenu un rapport de bug et a promis qu’un correctif pour la faille de la version 2.54 serait fourni en juillet 2023. Toutefois, M. Reichl a également indiqué que la version 2.54 de KeePass devrait être mise à la disposition des utilisateurs dans environ deux semaines, et qu’elle sera disponible début juin.
