KeePass a publié la version 2.54, corrigeant la vulnérabilité CVE-2023-3278 qui permet l’extraction du mot de passe principal en clair de la mémoire de l’application.
Lors de la création d’une nouvelle base de données de gestionnaire de mots de passe KeePass, les utilisateurs doivent créer un mot de passe principal, qui est utilisé pour chiffrer la base de données. Lors de l’ouverture de la base de données à l’avenir, les utilisateurs doivent saisir cette clé principale pour la déchiffrer et accéder aux informations d’identification qui y sont stockées.
Cependant, en mai 2023, le chercheur en sécurité ‘vdohney’ a révélé une vulnérabilité et un exploit de preuve de concept qui vous permettaient d’extraire partiellement le mot de passe principal KeepPass en clair d’un vidage mémoire de l’application.
« Le problème vient de SecureTextBoxEx. En raison de la façon dont il traite l’entrée, lorsque l’utilisateur tape le mot de passe, il y aura des chaînes restantes », a expliqué vdohney dans un rapport de bogue KeePass.
« Par exemple, lorsque « Mot de passe » est tapé, il en résultera ces chaînes restantes : •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d. »
Ce dumper permet aux utilisateurs de récupérer presque tous les caractères du mot de passe principal à l’exception du premier ou des deux premiers, même si l’espace de travail KeePass est verrouillé ou si le programme a été fermé récemment.
Les logiciels malveillants voleurs d’informations ou les acteurs de la menace pourraient utiliser cette technique pour vider la mémoire du programme et la renvoyer, ainsi que la base de données KeePass, à un serveur distant pour une récupération hors ligne du mot de passe en clair à partir du vidage de la mémoire. Une fois le mot de passe récupéré, ils peuvent ouvrir la base de données de mots de passe KeePass et accéder à toutes les informations d’identification de compte enregistrées.
Le créateur et développeur principal de KeePass, Dominik Reichl, a reconnu la faille et a promis de publier bientôt un correctif, ayant déjà implémenté une solution efficace testée dans les versions bêta.
KeePass 2.5.4 corrige une vulnérabilité
Au cours du week-end, Reichl a publié KeePass 2.54 plus tôt que prévu, et il est fortement recommandé à tous les utilisateurs de la branche 2.x de passer à la nouvelle version.
Les utilisateurs de KeePass 1.x, Strongbox ou KeePassXC ne sont pas impactés par CVE-2023-32784 et n’ont donc pas besoin de migrer vers une version plus récente.
Pour corriger la vulnérabilité, KeePass utilise désormais une API Windows pour définir ou récupérer des données à partir de zones de texte, empêchant la création de chaînes gérées pouvant potentiellement être supprimées de la mémoire.
Reichl a également introduit des « chaînes factices » avec des caractères aléatoires dans la mémoire du processus KeePass pour rendre plus difficile la récupération de fragments du mot de passe de la mémoire et les combiner en un mot de passe principal valide.
KeePass 2.5.4 introduit également d’autres améliorations de sécurité, telles que le déplacement des « déclencheurs », des « substitutions d’URL globales » et des « profils de générateur de mots de passe » dans le fichier de configuration appliqué, ce qui offre une sécurité supplémentaire contre les attaques qui modifient le fichier de configuration de KeePass.
Si les déclencheurs, les remplacements et les profils ne sont pas stockés dans la configuration appliquée parce qu’ils ont été créés à l’aide d’une version précédente, ils seront automatiquement désactivés dans la version 2.54 et les utilisateurs devront les activer manuellement à partir du menu des paramètres « Outils ».
Il est recommandé aux utilisateurs qui ne peuvent pas mettre à niveau vers KeePass 2.54 de réinitialiser leur mot de passe principal, de supprimer les vidages sur incident, les fichiers d’hibernation et les fichiers d’échange pouvant contenir des fragments de leur mot de passe principal, ou d’effectuer une nouvelle installation du système d’exploitation.
Gardez à l’esprit que le problème n’affecte que les mots de passe saisis dans les formulaires de saisie du programme, donc si les informations d’identification sont copiées et collées dans les cases, aucune chaîne de fuite de données n’est créée en mémoire.