Un recient descobriment de fallada de seguretat que afecta al gestor de contrasenyes KeePass ha estat fet disponible com a prova de concepte (PoC). Seguint el rastre de CVE-2023-32784, la vulnerabilitat afecta les versions 2.x de KeePass per a Windows, Linux i macOS, i pot ser explotada per recuperar la contrasenya mestra dels víctimes en text clar sota determinades condicions. S’espera que una versió pròxima 2.54 arregli el problema. Segons el investigador de seguretat “vdhoney”, que va descobrir la fallada i va dissenyar un PoC, la vulnerabilitat està relacionada amb com un quadre de text personalitzat utilitzat per introduir la contrasenya mestra maneja la entrada de l’usuari. S’ha trobat que deixa traces de cada caràcter que l’usuari introdueix al programa a la memòria, permetent a un atacant descarregar la memòria del programa i reassemblar la contrasenya en text clar amb l’excepció del primer caràcter. Per explotar amb èxit la vulnerabilitat, un atacant ja ha de haver compromès el potencial ordinador de l’objectiu, i la contrasenya ha de ser escrita en un teclat, no copiada des d’un porta-retalls. Es recomana als usuaris actualitzar a KeePass 2.54 una vegada que estigui disponible. Això segueix els resultats de la investigació de seguretat de Google que van detallar una fallada en gestors de contrasenyes com Bitwarden, Dashlane i Safari, que es pot aprofitar per omplir les credencials desades a pàgines web no de confiança, que pot portar a possibles prenentatges de compte.
Source: Hackernews
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.