Support technique
Documentation
Connexion
Nous contacter
Une vulnérabilité critique dans KeePass expose les mots de passe principaux
29 mai 2023 - L'équipe de relations publiques de TuxCare
Un chercheur connu sous le nom de "vdohney" a découvert une vulnérabilité critique (CVE-2023-32784) dans le gestionnaire de mots de passe open-source KeePass.
Cette vulnérabilité permet à des acteurs hostiles d'obtenir le mot de passe principal stocké dans la mémoire du logiciel. Bien que la vulnérabilité n'ait pas été corrigée, un outil d'exploitation de démonstration de faisabilité appelé "KeePass 2.X Master Password Dumper" a été mis à disposition.
Le problème affecte principalement SecureTextBoxEx, la boîte de texte personnalisée de KeePass utilisée pour saisir le mot de passe principal et les mots de passe supplémentaires lors de l'édition. L'attaquant doit avoir accès au dump du processus, au fichier d'échange (pagefile.sys), au fichier d'hibernation (hiberfil.sys) ou à un dump de la mémoire vive du système complet pour exploiter le bogue à l'aide de l'outil PoC.
Il n'est pas nécessaire d'exécuter du code, et le fichier readme affirme que l'attaque fonctionne indépendamment du fait que la mémoire provienne d'un process dump, d'un RAM dump, d'un fichier d'hibernation ou d'un fichier d'échange. Vdohney a également déclaré dans l'article GitHub que l'arrêt de la machine ou de l'espace de travail de l'utilisateur cible n'a pas d'importance, et que les mots de passe peuvent toujours être extraits de la mémoire même si KeePass ne fonctionne plus.
KeePass Master Password Dumper est un programme qui permet de récupérer le mot de passe principal dans la mémoire de KeePass. À l'exception du caractère initial, il peut récupérer le mot de passe en texte clair. Il fonctionne indépendamment de la source de mémoire, telle qu'un dump de processus, un fichier d'échange, un fichier d'hibernation ou un dump de RAM. La faiblesse est due à l'utilisation d'une boîte de saisie de mot de passe personnalisée appelée "SecureTextBoxEx", qui conserve un enregistrement des caractères tapés en mémoire.
La faiblesse exploitable résulte de la construction en mémoire de chaînes résiduelles pour chaque caractère saisi. En raison du mode de fonctionnement de .NET, ces chaînes sont extrêmement difficiles à supprimer une fois qu'elles sont formées. Lorsque le mot "Password" est tapé, par exemple, des chaînes résiduelles telles que -a, --s, --s, ---w, ----o, -----r et -----d sont créées. À l'exception du premier caractère, le programme PoC recherche ces motifs dans le dump et propose des caractères de mot de passe possibles pour chacun d'entre eux.
La faille affecte la branche Windows de KeePass 2.X, avec des conséquences potentielles pour Linux et macOS. Heureusement, le problème a été corrigé dans les versions de test de KeePass v2.54, et la date de sortie officielle est fixée à juillet 2023.
Le risque d'une utilisation abusive généralisée de CVE-2023-32784 reste minime. Par conséquent, KeepassXC, un dérivé de KeePassX et une implémentation multiplateforme de KeePass, n'est pas concerné par ce problème.
Les sources de cet article comprennent un article paru dans HelpnetSecurity.
