Il ricercatore Vdohney ha rilevato una vulnerabilità nel password manager KeePass e ha creato un proof-of-concept (PoC) per dimostrare la pericolosità di questa falla.
Tuttavia “nell’utilizzare software open source per la gestione di password come KeePass Password Safe”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “si assume che sia intenzione dell’utente usare password robuste per ciascuno dei servizi in uso“.
Attaccanti possono comunque sfruttare il bug per il recupero della master password dalla memoria di KeePass, “ad eccezione del primo carattere. E senza dover eseguire un codice malevolo sul sistema, ma solo tramite un dump della memoria”, spiega Giorgio Sbaraglia, consulente aziendale cyber security e membro del comitato direttivo del Clusit.
Ecco come mitigare il rischio.
Indice degli argomenti
Vulnerabilità in KeePass: i rischi reali
La falla di KeePass è la CVE-2023-32784 e riguarda le versioni 2.x per Windows, Linux e macOS. Dunque “è abbastanza grave, proprio perché riguarda un password manager”, continua Sbaraglia. Tuttavia “per il momento non è stato rilevato alcun exploit attivo di questa falla“. Infatti, non è così facilmente sfruttabile, “perché è necessario che un attaccante abbia già compromesso il computer”.
Infatti, la falla in KeePass è “sfruttabile solo una volta ottenuto un accesso locale al sistema su cui è in esecuzione una versione non aggiornata“, mette in evidenza Paganini.
Tuttavia, “è importante notare”, continua Sbaraglia, “che questo exploit non solo richiede l’esecuzione di codice sul sistema interessato”, ma “può essere realizzato anche se l’area di lavoro è bloccata o KeePass non è più attivo“.
Inoltre, “lo sfruttamento della vulnerabilità può variare” a seconda del “modo in cui è avvenuta la digitazione della password e del numero di inserimenti di password in una determinata sessione”, aggiunge Sbaraglia.
Infatti “più tempo è trascorso dalla chiusura dell’applicazione, più diminuiscono le possibilità di estrazione dalla memoria“, continua Sbaraglia. Infine “per quanto sappiamo, occorre che la password venga digitata su una tastiera e non copiata dagli appunti del dispositivo”. Dunque una rara eventualità che “potrebbe non verificarsi”.
Un altro aspetto che dovrebbe ridimensionare il livello di pericolosità di questo bug è che “riguarda KeePass 2.53.1”, avverte Sbaraglia, “e qualsiasi fork (l’applicazione è open-source, ne esistono numerose varianti) basato sull’applicazione originale KeePass 2.X scritta in .NET”. La falla non dovrebbe interessare “altre versioni quali KeePassXC, Strongbox e KeePass 1.X“.
Come mitigare il rischio
Per proteggersi dalla vulnerabilità in KeePass, bisogna usare password robuste per ogni dei servizi in uso e mantenere il software aggiornato. Infatti “è fondamentale che utenti tanto accorti alla propria postura di sicurezza utilizzino sempre software aggiornati all’ultima versione“, mette in guardia Paganini.
Come ha illustrato il ricercatore che ha sviluppato il codice PoC per sfruttare la vulnerabilità in KeePass, “non richiede l’esecuzione di codice sul sistema di destinazione”, conclude Paganini, ma “si tratta solo di un dump della memoria una volta ottenuto un accesso locale e pertanto non è possibile proteggersi se non aggiornando il software“.
Dominik Reichl, sviluppatore di KeePass, ha inoltre “confermato l’esistenza della vulnerabilità. Una correzione dovrebbe arrivare entro breve, a giugno, con la versione 2.54. Il rischio che si verifichi un attacco ‘in the wild’ è comunque piuttosto remoto”, conferma Giorgio Sbaraglia.
Il caso KeePass va ad aggiungersi “ai recenti databreach ai danni del noto LastPass ed alla segnalazione di Google su bug in Bitwarden e DashLane (altri password manager tra i più diffusi). In ambedue i casi, la risoluzione di queste vulnerabilità risale allo scorso dicembre”, sottolinea Sbaraglia.
Questi “incidenti non devono portarci ad abbandonare l’utilizzo dei password manager che”, secondo Sbaraglia, “continuano a rappresentare il miglior compromesso tra sicurezza e praticità”.
“Dovendo sceglierne uno in particolare, consiglio 1Password che ad oggi non risulta essere stato oggetto di incidenti di nessun tipo. Infine adotta accorgimenti che combinano la sicurezza della funzione PBKDF2 con l’uso della chiave segreta (Secret Key) che altri password manager non hanno implementato”, conclude Sbaraglia.
