Detectaron una vulnerabilidad en KeePass que permite el robo de contraseñas

febrero 02, 2023 0 Comments

Vulnerabilidad

Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas

Hace poco se dio a conocer información de que en el administrador de contraseñas, KeePass, hasta su versión 2.53 (en una instalación predeterminada) permite que un atacante, que tiene acceso de escritura al archivo de configuración XML, obtenga las contraseñas en texto sin formato agregando una exportación desencadenante.

Para quienes desconocen de KeePass, deben de saber que este es un administrador de contraseñas de código abierto muy popular que permite administrar las contraseñas utilizando una base de datos almacenada localmente, en lugar de una alojada en la nube, como LastPass o Bitwarden.

Para proteger estas bases de datos locales, los usuarios pueden cifrarlas con una contraseña maestra, de modo que un malware o un ciberdelincuente no pueda simplemente robar la base de datos y acceder automáticamente a las contraseñas almacenadas allí.

Sobre la vulnerabilidad CVE-2023-24055

La vulnerabilidad identificada por CVE-2023-24055, permite que una persona con acceso de escritura al sistema de un objetivo modificar el archivo de configuración XML de KeePass e inyectar un malware desencadenante que exportaría la base de datos, incluidos todos los nombres de usuario y contraseñas en texto sin formato.

La posición del proveedor es que la base de datos de contraseñas no está diseñada para ser segura contra un atacante que tenga este nivel de acceso a la PC local.

La próxima vez que el objetivo inicie KeePass e ingrese la contraseña maestra para abrir y descifrar la base de datos, se activará la regla de exportación y el contenido de la base de datos se guardará en un archivo que los atacantes pueden filtrar a un sistema bajo su control.

Sin embargo, este proceso de exportación comienza en segundo plano sin que el usuario sea informado o KeePass solicite que se ingrese la contraseña principal como confirmación antes de la exportación, lo que permite al atacante acceder silenciosamente a todas las contraseñas almacenadas.

Si bien los equipos CERT de los Países Bajos y Bélgica también emitieron avisos de seguridad con respecto a CVE-2023-24055, el equipo de desarrollo de KeePass argumenta que esto no debe clasificarse como una vulnerabilidad dado que los atacantes con acceso de escritura al dispositivo de un objetivo también pueden obtener información en el base de datos de KeePass a través de otros medios.

El equipo del CERT de Bélgica sugiere implementar una medida de mitigación a través de la función de configuración reforzada, “ya ​​que no habrá ningún parche disponible. Esta característica está destinada principalmente a los administradores de red que desean imponer ciertas configuraciones a los usuarios para una instalación de KeePass, pero también pueden usarla los usuarios finales para fortalecer su configuración de KeePass. Sin embargo, este endurecimiento solo tiene sentido si el usuario final no puede modificar este archivo.

Y es que KeePass ha indicado que no lanzará actualizaciones de seguridad para corregir la vulnerabilidad. La posición del desarrollador es que una vez que un atacante malicioso tiene acceso al sistema de la víctima, no hay forma razonable de evitar el robo de los datos almacenados.

Sin embargo, KeePass ofrece a los administradores de sistemas la capacidad de evitar abusos mediante la aplicación de ciertas configuraciones:

  1. La aplicación de una configuración se lleva a cabo a través del llamado archivo de configuración forzada
  2. Establecer el parámetro «ExportNoKey» en «false» garantiza que se requiere una contraseña maestra para exportar los datos guardados.
  3. Esto evita que una persona malintencionada exporte en secreto datos confidenciales.

Las configuraciones en el archivo de configuración forzado KeePass.config.enforced.xml tienen prioridad sobre las configuraciones en los archivos de configuración globales y locales. Varias opciones para fortalecer su configuración de KeePass están documentadas en el repositorio de GitHub Keepass-Enhanced-Security-Configuration enumerado en la sección de referencia. Por ejemplo, es posible deshabilitar completamente la función de activación (Configuración XPath/Aplicación/Sistema de activación).

Las organizaciones también pueden considerar cambiar a otro administrador de contraseñas que admita las bóvedas de contraseñas de KeePass.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.