Detección de CVE-2023-24055: Vulnerabilidad Notoria en KeePass que Potencialmente Expone Contraseñas en Texto Claro

[post-views]
enero 25, 2023 · 3 min de lectura
Detección de CVE-2023-24055: Vulnerabilidad Notoria en KeePass que Potencialmente Expone Contraseñas en Texto Claro

¡Permanezca alerta! Los investigadores de seguridad han descubierto una notoria vulnerabilidad que representa una seria amenaza para los usuarios de un popular gestor de contraseñas KeePass. Una falla de seguridad, rastreada como CVE-2023-24055, podría afectar la versión 2.5x de KeePass, permitiendo potencialmente a los atacantes obtener contraseñas almacenadas en texto claro.

Detección CVE-2023-24055

Con la prueba de concepto (PoC) del exploit disponible, y considerando que KeePass es uno de los gestores de contraseñas más populares a nivel mundial, la falla de seguridad existente es un jugoso objetivo para los atacantes. Para detectar proactivamente actividades maliciosas asociadas con la explotación de CVE-2023-24055, las Plataformas de Detección como Código de SOC Prime ofrecen un lote de reglas Sigma dedicadas.

Posibles Patrones de Explotación de KeePass [CVE-2023-24055] (vía cmdline)

Posibles Patrones de Explotación de KeePass [CVE-2023-24055] (vía powershell)

Ambas reglas anteriores detectan patrones de explotación relacionados con la vulnerabilidad de KeePass en el centro de atención y se basan en el código del exploit PoC de CVE-2023-24055. Este código podría ser modificado por adversarios para evitar la detección y proceder con el ataque mientras pasan desapercibidos.

Las detecciones son compatibles con 22 plataformas SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® v12, abordando las tácticas de Acceso Inicial con Credenciales y Exfiltración con Credenciales de Almacenes de Contraseñas (T1555) y Exfiltración a través de Servicio Web (T1567) como las técnicas correspondientes.

Además, para detectar la actividad maliciosa asociada con la posible explotación de CVE-2023-24055, el equipo de SOC Prime recomienda encarecidamente aplicar las reglas de detección que se enumeran a continuación:

La Posibilidad de Ejecución a Través de Líneas de Comando de PowerShell Ocultas (vía cmdline)

Cadenas de PowerShell Sospechosas (vía powershell)

Llamar Clases/Métodos .NET Sospechosos desde la Línea de Comando de PowerShell (vía process_creation)

Llamar Métodos .NET Sospechosos desde PowerShell (vía powershell)

Presione el botón Explorar Detecciones para acceder instantáneamente a todas las reglas Sigma dedicadas para CVE-2023-24055, acompañadas de enlaces CTI correspondientes, referencias ATT&CK e ideas de caza de amenazas.

Explorar Detecciones

Análisis CVE-2023-24055

KeePass es una herramienta de código abierto gratuita extremadamente popular que se dice ser uno de los gestores más poderosos y seguros hasta la fecha. Sin embargo, una nueva vulnerabilidad recientemente revelada que afecta a KeePass podría exponer a millones de usuarios al riesgo de compromiso.

Como se explicó en la investigación de Alex Hernandez y detallado en un subproceso dedicado en SourceForge, la vulnerabilidad en cuestión podría permitir a un atacante con acceso de escritura al archivo de configuración XML obtener las contraseñas en texto claro al agregar un disparador de exportación. El exploit PoC para CVE-2023-24055, un escáner para él, y una lista de ejemplos de disparadores fueron publicados públicamente en el GitHub de Alex Hernandez.

Cabe destacar que el proveedor afirma que la base de datos de contraseñas no está destinada a ser segura contra un atacante que tenga ese nivel de acceso a una PC local. Además, la lista de versiones de KeePass afectadas aún se está disputando. Por ahora, se considera que KeePass v2.5x está afectado. Se insta a los usuarios a actualizar a la última versión 2.53 para evitar posibles compromisos.

Mejore sus capacidades de detección de amenazas y acelere la velocidad de búsqueda de amenazas equipados con Sigma, MITRE ATT&CK y Detección como Código para tener siempre algoritmos de detección curados contra cualquier TTP adversario o cualquier vulnerabilidad explotable. Obtenga 800 reglas para CVE existentes para defenderse proactivamente contra amenazas que importan más. Alcance instantáneamente 140+ reglas Sigma gratis o obtenga todos los algoritmos de detección relevantes bajo demanda en https://my.socprime.com/pricing/.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk CVE-2025-8292: Vulnerabilidad Use-After-Free en Google Chrome permite RCE y compromiso del sistema 4 min de lectura Últimas Amenazas CVE-2025-8292: Vulnerabilidad Use-After-Free en Google Chrome permite RCE y compromiso del sistema by Daryna Olyniychuk Detección de CVE-2025-53770: Vulnerabilidad Zero-Day en Microsoft SharePoint está siendo activamente explotada para ataques RCE 5 min de lectura Últimas Amenazas Detección de CVE-2025-53770: Vulnerabilidad Zero-Day en Microsoft SharePoint está siendo activamente explotada para ataques RCE by Daryna Olyniychuk
Todas las noticias