CVE-2023-32784 : que permet réellement cette vulnérabilité affectant KeePass ?

Tout à commencer par une discussion lancée le 1^er mai sur la page SourceForge du projet KeePass [1], par une personne se présentant sous le pseudonyme « vdohney ». Après une réponse de Dominik Reichl, l’auteur du célèbre gestionnaire de mots de passe, vdohney annonce que sa preuve de concept mise à disposition sur Github [2] permet de récupérer « en clair », le mot de passe d’une base de données KeePass (verrouillée ou non), à l’exception du premier caractère. Un attaquant qui serait en mesure de réaliser un « dump » du processus, un « dump » complet de la mémoire ou qui accéderait au fichier d’hibernation (hiberfil.sys) ou encore de swap (pagefile.sys) pourrait donc facilement récupérer le mot de passe maître de la base KeePass d’un utilisateur.

Dominik Reichl a confirmé que la dernière version actuellement disponible KeePass 2.53.1 était vulnérable. D’après vdohney, il serait possible de réaliser la même chose sur un système macOS ou Linux. Cette vulnérabilité sera corrigée dans la version 2.54 qui devrait arriver courant juillet.

Ici le résultat du POC pour le mot de passe « P@55w0rd »
(Le premier caractère sera rapidement deviné ou « forcé »)

Même s’il faut relativiser sur les risques liés à cette vulnérabilité dans le sens où un attaquant devra en premier lieu avoir compromis le poste de sa victime, ce qui veut dire qu’il pourra certainement réaliser des actions ayant des conséquences bien plus dramatiques pour le système d’information auquel est raccroché l’ordinateur compromis (ce qu’il ne veut pas dire qu’elle ne doit pas être prise au sérieux), cette vulnérabilité nous rappelle bien l’intérêt d’avoir mis en place un mécanisme d’authentification à plusieurs facteurs pour ouvrir la porte de son coffre-fort de mots de passe.

Si KeePass se limite à l’utilisation d’un fichier clé en second facteur d’authentification, son fork KeePassXC [3] permet d’ajouter l’utilisation d’une clé physique, telle qu’une Yubikey pour le déverrouillage (et toutes modifications) de la base de données.

KeePassXC, compatible avec une base créée sous KeePass, présente d’autres avantages, au-delà du fait qu’il n’est pas vulnérable à la CVE-2023-32784, notamment des modules pour les navigateurs Web les plus connus, permettant la récupération automatique des identifiants, mots de passe et codes TOTP directement depuis une base ouverte sous KeePassXC, ce qui facilite grandement l’adoption par les utilisateurs, qui retrouvent le confort d’utilisation d’un mot de passe enregistré dans un navigateur Web, mais sans les risques associés ! La fenêtre masquée automatiquement sur tout partage d’écran, permet aussi de limiter les risques de « oups, j’ai glissé chef, tout le monde a vu mon mot de passe ! ».

La facilité d’exploitation de cette vulnérabilité à l’aide du POC fourni est assez déconcertante, comme il est possible de le constater dans la vidéo ci-dessous.