Le gestionnaire de mots de passe populaire KeePass a un exploit inquiétant qui pourrait éventuellement entraîner le vol de votre mot de passe principal.
Un chercheur en sécurité a publié une preuve de concept qui montre comment un acteur malveillant peut extraire le mot de passe principal d’un utilisateur de la mémoire de l’application KeePass en exploitant un bogue, identifié comme CVE-2023-3278.
« KeePass Master Password Dumper est un simple outil de preuve de concept utilisé pour vider le mot de passe principal de la mémoire de KeePass. Outre le premier caractère du mot de passe, il est principalement capable de récupérer le mot de passe en clair », affirme le chercheur.
Aucune exécution de code
Ils ont ajouté qu' »aucune exécution de code sur le système cible n’est requise, juste un vidage de mémoire. Peu importe d’où vient la mémoire – peut être le vidage de processus, le fichier d’échange (pagefile.sys), le fichier d’hibernation (hiberfil. sys) ou un vidage RAM de l’ensemble du système. Peu importe que l’espace de travail soit verrouillé ou non. »
Le mot de passe principal peut également être extrait de la RAM du système après l’arrêt de KeePass, bien que le chercheur ait noté que plus le temps s’est écoulé depuis la fermeture de l’application, plus les chances de succès de l’extraction diminuent.
Le PoC a été testé sur Windows, mais le chercheur affirme que l’exploit fonctionne également sur les versions macOS et Linux.
Le PoC fonctionne en exploitant une zone de texte développée sur mesure pour la saisie du mot de passe, SecureTextBoxEx, qui valide les caractères saisis par un utilisateur dans la mémoire système. Cette case n’est pas seulement utilisée lors de la saisie du mot de passe principal, mais également lors de la modification d’autres mots de passe stockés, de sorte que ceux-ci pourraient également être compromis.
La faille affecte KeePass 2.53.1 et tous les forks (l’application est open source) basés sur l’application originale KeePass 2.X écrite en .NET. Le chercheur déclare que KeePassXC, Strongbox et KeePass 1.X ne sont pas affectés, parmi d’autres versions potentielles.
Le développeur de KeePass, Dominik Reichl, a confirmé l’existence de la vulnérabilité. Un correctif devrait arriver en juin avec la version 2.54. Le risque qu’une attaque se produise dans la nature est cependant quelque peu limité.
Le chercheur dit que si votre système est déjà infecté par des logiciels malveillants, cet exploit pourrait leur permettre de ne pas être détecté plus facilement lorsqu’ils tentent de voler votre mot de passe principal, car aucune exécution de code n’est requise. Cependant, si votre système est propre, tout devrait bien se passer, car « personne ne peut voler vos mots de passe à distance sur Internet avec cette seule découverte », déclare le chercheur.