Imagen: Michael Ansaldo/Fundición
Administrador de contraseñas KeePass los usuarios pueden querer estar más atentos durante las próximas semanas más o menos. A vulnerabilidad recién descubierta permite la recuperación de la contraseña maestra en texto sin formato, incluso cuando la base de datos está bloqueada o el programa está cerrado. Y aunque se está trabajando en una solución, no llegará hasta principios de junio como muy pronto.
Según lo informado por computadora pitido (que cubre el problema con detalles técnicos completos), un investigador de seguridad conocido como vdohney publicó una herramienta de prueba de concepto que demostró el exploit en acción. Un atacante puede realizar un volcado de memoria para recopilar la mayor parte de la contraseña maestra en texto sin formato, incluso cuando una base de datos de KeePass está cerrada, el programa está bloqueado o el programa ya no está abierto. Cuando se extraiga de la memoria, faltarán los primeros uno o dos caracteres de la contraseña, pero luego se pueden adivinar para descubrir la cadena completa.
Para aquellos que no están familiarizados con las vulnerabilidades de volcado de memoria, pueden pensar en este escenario un poco como la contraseña maestra de KeePass como monedas sueltas en el bolsillo de un pantalón. Sacude los pantalones y obtendrás casi todo el dólar (por así decirlo) necesario para comprar la entrada a la base de datos, pero para empezar, esas monedas no deberían estar flotando en ese bolsillo.
La herramienta de prueba de concepto demuestra este problema en Windows, pero se cree que Linux y macOS también son vulnerables, ya que el problema existe en KeePass, no en el sistema operativo. Las cuentas de usuario estándar en Windows tampoco son seguras: volcar la memoria no requiere privilegios administrativos. Para ejecutar el exploit, un actor malicioso necesitaría acceder a la computadora de forma remota (obtenida a través de malware) o físicamente.
Todas las versiones existentes de KeePass 2.x (por ejemplo, 2.53.1) se ven afectadas. Mientras tanto, KeePass 1.x (una edición anterior del programa que aún se mantiene), KeePassXC y Strongbox, que son otros administradores de contraseñas compatibles con los archivos de la base de datos de KeePass, no se ven afectados según vdohney.
Una solución para esta vulnerabilidad vendrá en KeePass versión 2.54, que probablemente se lance a principios de junio. Dominick Reichl, el desarrollador de KeePass, dio esta estimación en un foro de sourceforge junto con la advertencia de que el plazo no está garantizado. Un versión de prueba inestable de KeePass con las mitigaciones de seguridad ya está disponible. Bleeping Computer informa que el creador de la herramienta de explotación de prueba de concepto no puede reproducir el problema con las soluciones implementadas.
Sin embargo, incluso después de actualizar a la versión fija de KeePass, la contraseña maestra aún puede verse en los archivos de memoria del programa. Para protegerse completamente contra eso, tendrá que borrar completamente su PC usando el modo que sobrescribe los datos existentes, luego reinstale el sistema operativo nuevamente.
Sin embargo, ese es un movimiento bastante drástico. Más razonablemente, no permita que personas que no sean de confianza accedan a su computadora y no haga clic en ningún enlace desconocido ni instale ningún software desconocido. Un buen programa antivirus (como uno de esos entre nuestras mejores recomendaciones) también ayuda. Cuando se inicia la versión fija de KeePass, también puede cambiar su contraseña maestra después de la actualización; hacerlo debería hacer que la contraseña anterior sea irrelevante si todavía está al acecho en sus archivos de memoria.
También puede reducir su exposición reiniciando su PC, borrando su hibernación y archivos de intercambio, y accediendo temporalmente a su base de datos KeePass en una alternativa segura como KeePassXC. Cifrado de dispositivos también puede ayudar contra un ataque físico a su PC (o si cree que alguien podría extraer esta información después de donar o desechar la PC). Hay formas de mantenerse protegido y, afortunadamente, esto parece ser solo un problema de prueba de concepto, en lugar de una explotación activa.
Autora: Alaina YeEditor en jefe
Alaina Yee es la cazadora de gangas residente de PCWorld: cuando no está cubriendo la construcción de PC, los componentes de la computadora, las mini PC y más, busca las mejores ofertas tecnológicas. Anteriormente, su trabajo apareció en PC Gamer, IGN, Maximum PC y Official Xbox Magazine. Puedes encontrarla en Twitter en @morphingball.