El sitio web de respuesta a emergencias cibernéticas de Bélgica (CERT.be), ha publicado una advertencia sobre una brecha de seguridad encontrada en KeePass.
KeePass es un administrador de contraseñas popular para Windows. Lo hemos recomendado aquí en el blog muchas veces; mantenemos los enlaces de descarga y el registro de cambios al día.
Una reciente nota en el sitio web CERT.be, ha informado que el archivo de configuración XML puede ser vulnerado, abriendo el camino para que un usuario malintencionado pueda obtener las contraseñás de texto sin formato. Sin embargo, el atacante tendría que tener acceso y permiso de escritura sobre la carpeta de instalación de KeePass.
Un artículo de Dominik Reichl, menciona que esto no se trata de un problema de seguridad de KeePass, sino de Windows:
Un atacante que tenga acceso de escritura al archivo de configuración de KeePass puede modificarlo maliciosamente (por ejemplo, podría inyectar disparadores maliciosos). Sin embargo, esto no es realmente una vulnerabilidad de seguridad de KeePass.
- Si el usuario instaló KeePass usando el programa de instalación, el archivo de configuración se almacena en el directorio de datos de la aplicación del usuario (en «%APPDATA%\KeePass»), que se encuentra dentro del directorio de perfil de usuario («%USERPROFILE%»). En este caso, tener acceso de escritura al archivo de configuración de KeePass suele ser equivalente a tener acceso de escritura al directorio del perfil de usuario. Alguien que tenga acceso de escritura al directorio de perfil de usuario puede realizar varios tipos de ataques. Por ejemplo, el atacante podría agregar malware en la carpeta de inicio («%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup»; el malware se ejecutará automáticamente después del próximo inicio de sesión del usuario), modificar los accesos directos del escritorio (en «%USERPROFILE %\Desktop»), manipular el registro del usuario (archivo «%USERPROFILE%\NTUSER.DAT»).
- Si el usuario está utilizando la versión portátil de KeePass, el archivo de configuración se almacena en el directorio de la aplicación (que contiene el archivo «KeePass.exe»). En este caso, tener acceso de escritura al archivo de configuración de KeePass suele ser equivalente a tener acceso de escritura al directorio de la aplicación. Con esta capacidad, un atacante puede, por ejemplo, simplemente reemplazar el archivo «KeePass.exe» por algún malware.
Es obvio que si un pirata informático obtiene accesos a ciertas carpetas del sistema operativo, no solo obtendrá las claves de un administrador de contraseñas; sino toda la información de su su pefil de navegador web, archivos personales, etc.
Los desarrolladores de KeePass aconsejan mantener el sistema operativo seguro utilizando un software antivirus, un cortafuegos, no abriendo archivos adjuntos de correos electrónicos desconocidos, etc.