Vulnérabilité critique ultra méga giga CVE-2023-24055

Au départ je comptais me limiter à un simple tweet (https://twitter.com/mynameisv_/status/1618237806442336256) et à un mail sur une liste de diffusion privée (ceux qui savent, savent 😉) mais vu l'ampleur du sujet... voici un article de blog 😒. Pour finir dans la joie et la bonne humeur, vous aurez les nouveautés de KeePass 2.53 à la fin 😉.

KeepPass est un outil merveilleux qui est un coffre-fort pour mots de passe.

Je vais faire court : c'est un outil qui vous permet de stocker vos mots de passe localement, de manière sécurisée et en vous obligeant à entrer un mot de passe « maître » pour les déverrouiller. C'est pratique pour avoir des mots de passe complexes et aléatoires pour chacun de vos sites, outils, accès... 👍.

Pour le dire autrement, il protège vos mots de passe, il protège vos fesses, il « garde votre cul »... ça c'est pour ceux qui n'ont pas compris le nom de cet outil 😉.

Les faiblesses de KeePass

Keepass est excellent pour garder vos secrets en sécurité, mais pour un attaquant, il peut être intéressant pour deux raisons principales 😉 :

Si je compromets l'ordinateur de l'utilisateur et que j'ai suffisamment de privilèges pour accéder à la base de données Keepass, alors j'aurai TOUS ses secrets (que je récupère en mémoire avec des outils comme KeeFarce ou KeeThief ou SharpClipHistory le plus récent, ou sur disque en attendant que l'utilisateur entre son mot de passe et en le capturant avec un keylogger...).

Si je compromets l'ordinateur de l'utilisateur et que j'ai des permissions en écriture sur le fichier de configuration de KeePass, je peux lui demander de déclencher une action, comme l'exécution d'une commande, suite à un événement comme son ouverture, l'ouverture d'une base de mots de passe, sa fermeture... (ce qui peut être fait manuellement ou avec des outils comme le récent KeePwn) Le second cas est connu depuis 2015, au moins (pour ceux qui sont sur la liste de diffusion, je vous renvoie aux courriels de 2015 « KeeFarce : un logiciel qui extrait les données de Keepass » et “Security KeeThief, pour voler le contenu d'un KeePass”).

C'est une vieille technique bien connue que j'ai utilisée plusieurs fois lors de pentest assurer une persistance discrète sur la cible💪 mais aussi voler les mots de passe.CVE-2023-24055

À des fins d'autopromotion, quelqu'un a tenté de signaler une vulnérabilité à partir de la fonctionnalité et, comme il ne s'agit pas d'une vulnérabilité, elle est « DISPUTED » au MITER, c'est-à-dire qu'il y a un débat sur la question de savoir s'il s'agit ou non d'une véritable vulnérabilité.

Alors attention, je vais faire preuve de ma meilleure mauvaise foi, car cette histoire est totalement ridicule :

• Word, Excel, PowerPoint… ont le même type de fonctionnalité (exécution de code) avec les Macros.

• Outlook, que vous avez presque toujours ouvert, a le même type de fonctionnalité avec les Addins.

• Photoshop, Illustrator… ont le même type de fonctionnalité avec les plugins.

• Firefox, Chrome… ont le même type de fonctionnalité avec les extensions.

Donc oui, KeePass peut être détourné et tous vos mots de passe peuvent être récupérés, mais cela est connu et documenté depuis des années :
🔗 https://keepass.info/help/kb/sec_issues.html#cfgw

Et KeePass propose des moyens pour sécuriser un peu plus sa configuration :
🔗 https://keepass.info/help/kb/config_enf.html

Reste que si un attaquant a accès à votre ordinateur, même avec des privilèges limités, il ne s'agit que d'une question de temps avant qu'il n'ait accès à tout (sauf peut-être sur un ChromeBook en ce qui concerne la persistance).

👉 Est-ce que cela remet en cause KeePass et l’utilisation d’un coffre-fort local ?

La réponse est bien sûr : non 🤣, merci Cap’tain Obvious !

Pour compromettre KeePass, un attaquant doit avoir accès à l’ordinateur (ou, dans certains cas, à un partage réseau distant). Et si un attaquant a accès à votre machine, il finira par tout récupérer (sauf peut-être sur un ChromeBook).

Avoir un gestionnaire de mots de passe, c’est bien, c’est même très bien ! C'est mieux que d’avoir un seul mot de passe pour tous ses comptes (coucou la réutilisation des mots de passe 🫠), et mieux que de stocker ses mots de passe dans un fichier texte ou un Excel…

Si un coffre-fort est utilisé intelligemment, alors vous aurez des mots de passe uniques, longs et complexes pour chaque site/application, et vous ferez des sauvegardes régulières.

Vous pouvez aussi utiliser un gestionnaire en tant qu'application web auto-hébergée comme Bitwarden self-hosted ou en tant que service SaaS comme Bitwarden SaaS service, LastPass, Dashlane, 1Password…

(et cher lecteur, avant que vous ne râliez à propos de LastPass : oui, un coffre-fort en ligne est intéressant, mais il nécessite une analyse préalable des risques, car indirectement, ils auront accès à vos mots de passe ➡️ https://patrowl.io/third-lastpass-hack/)

Très récemment, la mise à jour 2.53 a apporté un soutien complet à l'authentification forte basée sur le « One Time Password / OTP » en l'ajoutant à l'achèvement automatique :

Le nom d'utilisateur et le mot de passe sont configurés ici de manière classique :

Pour l'auto-type, c'est ici :

Vous pouvez maintenant ajouter {HMACOTP} et {TIMEOTP} (voir capture d'écran ci-dessus) dans la configuration de l'auto-type et vous n'avez vraiment plus d'excuse pour utiliser l'authentification forte😄.

D'ailleurs, si vous utilisez l'OTP de l'appareil à partir duquel vous avez saisi votre mot de passe... il ne s'agit pas vraiment d'une authentification forte à deux facteurs (2FA) mais plutôt d'un « facteur 1.5 ou “1.5 FA” 😅. (L'un des objectifs de l'authentification forte est de disposer d'un appareil distinct générant l'OTP, car si votre appareil est compromis, l'attaquant disposera de votre mot de passe ainsi que de votre deuxième facteur... 😢).

Utilisez un coffre-fort de mots de passe (local, SaaS, auto-hébergé...), utilisez des mots de passe forts, utilisez un mot de passe unique par site/application, utilisez MFA, ne croyez pas ce que vous lisez sur Internet 😄.

Et si vous voulez en savoir plus sur l'authentification forte (désolé, ce n'est qu'en français) :

Blog : Contourner l'authentification forte (MFA) d'Office 365 en 3 lignes (et y remédier 😉) https://patrowl.io/bypass-strong-authentication-doffice-365-mfa-en-3-lines-and-fix-it-%f0%9f%98%89/

Blog : L'authentification forte c'est bien, sécurisée c'est mieux https://patrowl.io/strong-authentication-is-good-when-it-is-secured-it-is-better/

Et à propos de la sécurité des mots de passe :

Blog : Le tableau de force des mots de passe https://patrowl.io/le-tableau-de-la-resistance-des-mots-de-passe/

Blog : Briser les condensats de mots de passe... sans violence https://patrowl.io/breaking-password-dums-pass-without-violence/