Détection CVE-2023-24055 : Vulnérabilité Notoire dans KeePass Potentiellement Exposant les Mots de Passe en Clair

[post-views]
janvier 25, 2023 · 4 min de lecture
Détection CVE-2023-24055 : Vulnérabilité Notoire dans KeePass Potentiellement Exposant les Mots de Passe en Clair

Restez vigilant ! Des chercheurs en sécurité ont découvert une vulnérabilité notoire posant une menace sérieuse pour les utilisateurs d’un gestionnaire de mots de passe populaire, KeePass. Un défaut de sécurité, suivi sous le nom CVE-2023-24055, pourrait affecter la version 2.5x de KeePass, permettant potentiellement à des attaquants d’obtenir les mots de passe stockés en clair.

Détection CVE-2023-24055

Avec une preuve de concept (PoC) d’exploit disponible et étant donné que KeePass est l’un des gestionnaires de mots de passe les plus populaires au monde, l’actuelle faille de sécurité est une cible de choix pour les attaquants. Pour détecter proactivement les activités malveillantes associées à l’exploitation de CVE-2023-24055, les plateformes Detection as Code de SOC Prime offrent un ensemble de règles Sigma.

Modèles possibles d’exploitation de KeePass [CVE-2023-24055] (via cmdline)

Modèles possibles d’exploitation de KeePass [CVE-2023-24055] (via PowerShell)

Les deux règles ci-dessus détectent les modèles d’exploitation liés à la vulnérabilité de KeePass mise en évidence et sont basées sur le code d’exploit PoC CVE-2023-24055. Ce code pourrait être modifié par des adversaires pour éviter la détection et poursuivre l’attaque tout en passant inaperçu.

Les détections sont compatibles avec 22 plateformes SIEM, EDR et XDR et sont alignées avec le cadre MITRE ATT&CK® v12, abordant les tactiques d’Accès Initial aux Identifiants et d’Exfiltration avec les techniques Credentials from Password Stores (T1555) et Exfiltration Over Web Service (T1567) correspondantes.

De plus, pour détecter l’activité malveillante associée à une exploitation potentielle de CVE-2023-24055, l’équipe de SOC Prime recommande fortement d’appliquer les règles de détection listées ci-dessous :

Possibilité d’exécution via des lignes de commande PowerShell cachées (via cmdline)

Chaînes PowerShell suspectes (via PowerShell)

Appel de classes/méthodes .NET suspectes depuis la ligne de commande PowerShell (via process_creation)

Appel de méthodes .NET suspectes depuis PowerShell (via PowerShell)

Appuyez sur le bouton Explorer les Détections pour accéder instantanément à toutes les règles Sigma dédiées pour CVE-2023-24055, accompagnées des liens CTI correspondants, des références ATT&CK, et des idées de chasse aux menaces.

Explorer les Détections

Analyse CVE-2023-24055

KeePass est un outil open source gratuit extrêmement populaire, réputé comme l’un des gestionnaires les plus puissants et sécurisés à ce jour. Cependant, une nouvelle vulnérabilité récemment révélée affectant KeePass pourrait exposer des millions d’utilisateurs au risque de compromission.

Comme expliqué dans la recherche par Alex Hernandez et détaillé dans un fil de discussion dédié sur SourceForge, la vulnérabilité en question pourrait permettre à un attaquant avec un accès en écriture au fichier de configuration XML d’obtenir les mots de passe en clair en ajoutant un déclencheur d’exportation. Le PoC exploit pour CVE-2023-24055, un scanner pour celui-ci, et une liste d’exemples de déclencheurs ont été publiquement publiés sur le GitHub d’Alex Hernandez.

Notamment, le fournisseur indique que la base de données des mots de passe n’est pas censée être sécurisée contre un attaquant ayant ce niveau d’accès à un PC local. De plus, la liste des versions de KeePass affectées est encore disputée. Pour l’instant, la version 2.5x de KeePass est considérée comme affectée. Les utilisateurs sont instamment priés de passer à la dernière version 2.53 pour éviter des compromissions potentielles.

Boostez vos capacités de détection des menaces et accélérez votre vitesse de chasse aux menaces équipé de Sigma, MITRE ATT&CK, et Detection as Code pour toujours avoir des algorithmes de détection adaptés à portée de main contre toute TTP d’adversaire ou toute vulnérabilité exploitable. Obtenez 800 règles pour les CVE existants afin de vous défendre proactivement contre les menaces les plus importantes. Accédez instantanément à 140+ règles Sigma gratuitement ou obtenez tous les algorithmes de détection pertinents à la demande sur https://my.socprime.com/pricing/.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk CVE-2025-8292 : Vulnérabilité Use-After-Free dans Google Chrome entraînant RCE et compromission système 4 min de lecture Dernières Menaces CVE-2025-8292 : Vulnérabilité Use-After-Free dans Google Chrome entraînant RCE et compromission système by Daryna Olyniychuk Détection de CVE-2025-53770 : Vulnérabilité Zero-Day de Microsoft SharePoint activement exploitée pour des attaques RCE 6 min de lecture Dernières Menaces Détection de CVE-2025-53770 : Vulnérabilité Zero-Day de Microsoft SharePoint activement exploitée pour des attaques RCE by Daryna Olyniychuk
Toutes les actualités