Debido a la enorme cantidad de cuentas de correo electrónico, aplicaciones y servicios que utilizamos en el día a día, es imprescindible contar con algún administrador de contraseñas que nos permita acceder a todos estos sitios, sin necesidad de tener que teclear las intrincadas contraseñas para acceder a cada uno de ellos.

Pero el problema viene cuando se descubre algún tipo de vulnerabilidad en los propios administradores de contraseñas, en los que tanto confiamos. Y ha vuelto a pasar.

El administrador de contraseñas KeePass es vulnerable a la extracción de la contraseña maestra de la memoria de la aplicación, permitiendo así a los atacantes comprometer un dispositivo para extraer esta contraseña maestra.

Este exploit descubierto permite a un pirata informático robar la contraseña maestra de usuario de KeePass en texto sin formato, es decir, sin cifrar, y simplemente extrayéndolo de la memoria objetivo.

Según informan desde Bleeping Computer, esta vulnerabilidad fue descubierta por el investigador de seguridad vdohney quién publicó una herramienta de prueba de concepto en GitHub.

Esta herramienta de concepto puede traer casi toda la contraseña maestra, excepto el primero o dos primeros caracteres, y extrae la contraseña en forma legible y sin cifrar. Además, puede extraerla aunque KeePass esté bloqueado o la aplicación cerrada por completo.

Esto se debe a que extrae la contraseña maestra de la memoria de KeePass pudiéndose obtener de varias maneras: “No importa de dónde provenga la memoria, puede ser el volcado del proceso, el archivo de intercambio (pagefile.sys), el archivo de hibernación (hiberfil.sys) o la memoria RAM de todo el sistema”.

El problema de los códigos personalizados

Según explican, este exploit existe gracias a ciertos códigos personalizados que usa el administrador de contraseñas.

Y es que cuando ingresas una contraseña maestra, se muestra un cuadro personalizado llamado SecureTextBoxEx. Este cuadro no es seguro, ya que cada carácter escrito en el mismo deja una copia sobrante en la memoria del sistema.

Para que el atacante pueda acceder a esta contraseña secreta, requeriría acceso físico a la máquina de la que extrae la contraseña maestra.

Sin embargo, los piratas informáticos pueden obtener acceso al ordenador de un objetivo utilizando aplicaciones vulnerables de acceso remoto.

Así que si un ordenador objetivo está infectado con malware, podría utilizarse para volcar la memoria de KeePass y enviarla junto con la base de datos de la aplicación al servidor del pirata informático, lo que ya permitiría extraer la contraseña maestra.

El desarrollador de KeePass dice que hay una solución en camino, pero no se espera hasta junio o julio de 2023, por lo que durante estas semanas vas a estar expuesto al no ser que cambies de administrador.