Rilevamento CVE-2023-24055: La Notoria Vulnerabilità in KeePass che Potrebbe Esporre Password in Chiaro
Indice:
Rimani vigile! I ricercatori della sicurezza hanno scoperto una famigerata vulnerabilità che rappresenta una seria minaccia per gli utenti di un popolare gestore di password, KeePass. Una falla di sicurezza, tracciata come CVE-2023-24055, potrebbe influire sulla versione 2.5x di KeePass, consentendo potenzialmente agli attaccanti di ottenere password memorizzate in testo chiaro.
Rilevamento CVE-2023-24055
Con la disponibilità di un exploit proof-of-concept (PoC) e considerando che KeePass è uno dei gestori di password più popolari a livello globale, la falla di sicurezza esistente è un obiettivo succulento per gli attaccanti. Per rilevare proattivamente attività dannose associate allo sfruttamento della CVE-2023-24055, la piattaforma Detection as Code di SOC Prime offre una serie di regole Sigma.
Possibili schemi di sfruttamento KeePass [CVE-2023-24055] (tramite cmdline)
Possibili schemi di sfruttamento KeePass [CVE-2023-24055] (tramite powershell)
Entrambe le regole sopra rilevano schemi di sfruttamento relativi alla vulnerabilità di KeePass sotto i riflettori e si basano sul codice exploit PoC CVE-2023-24055. Questo codice potrebbe essere modificato dagli avversari per evitare il rilevamento e procedere con l’attacco mantenendosi invisibili.
Le rilevazioni sono compatibili con 22 piattaforme SIEM, EDR e XDR e sono allineate con il framework MITRE ATT&CK® v12, affrontando le tattiche di Accesso Iniziale alle Credenziali e Esfiltrazione con Credenziali da Archivi Password (T1555) ed Esfiltrazione tramite Servizio Web (T1567) come le tecniche corrispondenti.
Inoltre, per rilevare l’attività dannosa associata al potenziale sfruttamento della CVE-2023-24055, il team SOC Prime consiglia vivamente di applicare le regole di rilevamento elencate di seguito:
La possibilità di esecuzione tramite linee di comando Powershell nascoste (via cmdline)
Stringhe Powershell sospette (via powershell)
Chiamata di classi/metodi .NET sospetti dalla CommandLine Powershell (via process_creation)
Chiamata di metodi .NET sospetti da Powershell (via powershell)
Premi il pulsante Esplora Rilevamenti per accedere istantaneamente a tutte le regole Sigma dedicate per CVE-2023-24055, accompagnate dai collegamenti CTI corrispondenti, riferimenti ATT&CK e idee di caccia alle minacce.
Analisi CVE-2023-24055
KeePass è uno strumento open source gratuito estremamente popolare considerato uno dei gestori più potenti e sicuri fino ad oggi. Tuttavia, una nuova vulnerabilità recentemente rivelata che interessa KeePass potrebbe esporre milioni di utenti al rischio di compromissione.
Come spiegato nella ricerca di Alex Hernandez e dettagliato in un thread dedicato su SourceForge, la vulnerabilità in questione potrebbe consentire a un attaccante con accesso in scrittura al file di configurazione XML di ottenere le password in chiaro aggiungendo un trigger di esportazione. L’exploit PoC per CVE-2023-24055, uno scanner per esso e un elenco di esempi di trigger sono stati pubblicati pubblicamente sul GitHub di Alex Hernandez.
In particolare, il venditore afferma che il database delle password non è destinato ad essere sicuro contro un attaccante che ha quel livello di accesso a un PC locale. Inoltre, l’elenco delle versioni di KeePass interessate è ancora oggetto di discussione. Per ora, si ritiene che KeePass v2.5x sia interessato. Gli utenti sono invitati ad aggiornare alla versione più recente 2.53 per prevenire potenziali compromissioni.
Potenzia le tue capacità di rilevamento delle minacce e accelera la velocità di caccia alle minacce equipaggiato con Sigma, MITRE ATT&CK e Detection as Code per avere sempre algoritmi di rilevamento curati contro ogni TTP avversario o qualsiasi vulnerabilità sfruttabile. Ottieni 800 regole per CVE esistenti per difenderti proattivamente dalle minacce più importanti. Raggiungi istantaneamente 140+ regole Sigma gratuitamente o ottieni tutti gli algoritmi di rilevamento rilevanti su richiesta a https://my.socprime.com/pricing/.
