Last updated
Last updated
La vulnerabilidad CVE-2023-32784 afecta a versiones anteriores a KeePass 2.54. Esta falla permite extraer la contraseña maestra en texto claro desde la memoria del sistema, incluso si la base de datos está bloqueada o KeePass ya no está en ejecución. Los datos residuales de contraseñas ingresadas permanecen en ubicaciones como el memory dump, el archivo de intercambio (pagefile.sys), o el archivo de hibernación (hiberfil.sys).
El problema radica en cómo KeePass maneja las contraseñas en su cuadro de texto personalizado (SecureTextBoxEx), donde se almacenan fragmentos del texto ingresado en la memoria de forma no segura. Aunque el primer carácter de la contraseña no es recuperable, los demás pueden reconstruirse usando herramientas específicas, como el script keepass-password-dumper, desarrollado como prueba de concepto por investigadores.
Una mitigación ha sido introducida en KeePass 2.54 mediante el uso de llamadas a la API de Windows que insertan cadenas aleatorias para dificultar la recuperación de datos de memoria. Sin embargo, esta vulnerabilidad no puede explotarse remotamente y requiere acceso físico o malware en el sistema afectado【14】【15】【16】.
Actualiza a KeePass 2.54 o superior.
Elimina archivos como dumps de memoria, archivos de hibernación y de intercambio después de cerrar KeePass.
Asegura el dispositivo contra malware, ya que la explotación requiere acceso local.
Más información sobre esta vulnerabilidad está disponible en y la .
Para poder realizar esta tecnica la version de keepass tiene que ser la 2.53.1 ya que es la version vulnerable, junto con algunas dependencias que vamos a necesitar mas, todo esta en el siguiente link:
URL =
Una vez que descomprimamos el archivo, veremos 3 instaladores llamados:
Tendremos que instalar los 3 para preparar nuestro entorno y el instalador del keepass lo instalaremos en nuestro entorno vulnerable, cuando se haya instalado keepass tendremos que crear una base de datos asignandole una contraseña la cual vamos a descubrir con la tecnica, en mi caso pondre secretpassword, por lo que nos metera en la base de datos y teniendo la base de datos abierta y activa, tendremos que realizar un volcado de memoria de la misma.
En este punto un atacante tendra que esperar hasta que la victima tenga el keepass abierto, por lo que nos iremos al administrador de tareas y buscaremos keepass, veremos algo asi:
Por lo que le daremos click derecho -> Crear archivo de volcado de memoria y esto nos lo creara, le daremos a Abrir ubicacion del archivo y lo pegaremos donde tengamos la carpeta que descomprimimos inicialmente entrando en ella y pegandola dentro de la carpeta llamada keepass-password-dumper-main.
Una vez echo eso y teniendo el .dmp dentro de la carpeta abriremos una terminal en la misma carpeta keepass-password-dumper-main y ejecutaremos lo siguiente:
Ejemplo:
Info:
Y veremos que nos la saco practicamente, pero de este resultado se puede intuir que es secretpassword.
Cuando el keepass este activo, podremos filtrar los proceso que se estan corriendo con el siguiente comando:
Info:
Por lo que vemos el PID del keepass es el 9556, por lo que nos descargaremos el siguiente archivo:
Lo descomprimiremos y moveremos el ejecutable llamado procdump64.exe a la carpeta keepass-password-dumper-main y desde la terminal estando dentro de la carpeta pondremos lo siguiente para realizar un volcado del keepass:
Info:
Vemos que se ha realizado correctamente y si vamos a ver si esta el archivo, veremos lo siguiente:
Se ha realizado correctamente, por lo que ya podremos seguir con el proceso para intentar dumpear la contraseña.
URL =
