16/12/2024

Actu CybersécuritéLogiciel - OS

CVE-2023-32784 : cette faille dans KeePass permet de récupérer le mot de passe maître !

Une nouvelle faille de sécurité a été découverte dans le gestionnaire de mots de passe KeePass. En exploitant cette vulnérabilité, il est possible de récupérer en clair le mot de passe maître d'une base KeePass.

Associée à la référence CVE-2023-32784, cette faille de sécurité permet de récupérer le mot de passe maître d'une base KeePass, qu'elle soit déverrouillée ou verrouillée, à partir d'un dump de la mémoire sur la machine locale. Cette méthode, associée à PoC "KeePass Master Password Dumper" fonctionne que ce soit à partir d'un dump mémoire de la RAM complète, du processus, du SWAP (pagefile.sys), ou du fichier d'hibernation de Windows (hiberfil.sys).

Une personne se présentant avec le pseudo "vdohney" est à l'origine de cette découverte et elle affirme que cette méthode fonctionne sur Windows avec la dernière version de KeePass, à savoir la version 2.53.1 à l'heure actuelle. Vdohney affirme aussi que ça devrait fonctionner sur le même principe sur macOS et Linux.

Il explique aussi que c'est lié à .NET et à la façon dont sont stockées les chaînes en mémoire. Il parvient à récupérer les caractères les uns après les autres, et au final, à reconstituer le mot de passe maître permettant d'accéder à la base KeePass. Toutefois, il précise que le premier caractère du mot de passe n'est pas récupéré, mais quand il n'y a qu'un seul caractère à deviner, soyons honnêtes : ce n'est qu'une question de temps pour le trouver.

Sur son GitHub, vdohney précise : "KeePass Master Password Dumper est un simple outil de démonstration de concept utilisé pour extraire le mot de passe principal de la mémoire de KeePass. A l'exception du premier caractère du mot de passe, il est généralement capable de récupérer le mot de passe en clair."

Comment se protéger ?

Dominik Reichl, le créateur de KeePass, a déjà développé un correctif. Toujours d'après vdohney, ce correctif est opérationnel et permet de se protéger de cette faille de sécurité. Toutefois, il va falloir attendre avant d'en profiter, car il sera intégré à KeePass 2.54 dont la sortie est prévue au plus tard au mois de juillet 2023.

Dominik Reichl précise : "Les améliorations seront incluses dans la prochaine version de KeePass (2.54). Actuellement, je travaille encore sur quelques autres fonctionnalités (également liées à la sécurité) et dès qu'elles seront terminées, je sortirai la version 2.54 de KeePass."

Vous pouvez retrouver plus d'informations sur GitHub et sur l'espace d'échange KeePass.

Il ne reste plus qu'à attendre la sortie de KeePass 2.54.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

5 commentaires sur “CVE-2023-32784 : cette faille dans KeePass permet de récupérer le mot de passe maître !

  • Bonjour,

    KeepassXC étant codé en c++ en regard de keepass qui est en c# et utilise donc le .net (ou mono sous linux), keepassxc ne semblerait pas vulnérable a cette cve. Vous confirmez ?

    Répondre
    • Bonjour,

      Je viens de faire le test et effectivement cela fonctionne avec Keepass, mais pas avec Keepass XC.
      Il ne semble donc pas vulnérable à cette faille.

      Répondre
    • Faut être admin pour dumper la mémoire non ?

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.