Detecção CVE-2023-24055: Notória Vulnerabilidade no KeePass Potencialmente Expondo Senhas em Texto Claro

Fique atento! Pesquisadores de segurança descobriram uma vulnerabilidade notória que representa uma séria ameaça aos usuários de um popular gerenciador de senhas KeePass. Uma falha de segurança, rastreada como CVE-2023-24055, pode afetar a versão 2.5x do KeePass, potencialmente permitindo que atacantes obtenham senhas armazenadas em texto claro.

Detecção CVE-2023-24055

Com um exploit de prova de conceito (PoC) disponível, e considerando que KeePass é um dos gerenciadores de senhas mais populares globalmente, a falha de segurança existente é um alvo atraente para atacantes. Para detectar proativamente atividades maliciosas associadas à exploração do CVE-2023-24055, a Plataforma Detection as Code da SOC Prime oferece um lote de regras Sigma.

Padrões de Exploração Possíveis do KeePass [CVE-2023-24055] (via cmdline)

Padrões de Exploração Possíveis do KeePass [CVE-2023-24055] (via powershell)

Ambas as regras acima detectam padrões de exploração relacionados à vulnerabilidade do KeePass em destaque e são baseadas no código de exploit PoC CVE-2023-24055. Este código pode ser modificado por adversários para evitar a detecção e prosseguir com o ataque enquanto permanecem despercebidos.

As detecções são compatíveis com 22 plataformas SIEM, EDR e XDR e estão alinhadas com o framework MITRE ATT&CK® v12, abordando as táticas de Acesso Inicial à Credencial e Exfiltração com Credenciais de Armazenamentos de Senhas (T1555) e Exfiltração Por Serviço Web (T1567) como as técnicas correspondentes.

Além disso, para detectar a atividade maliciosa associada à potencial exploração CVE-2023-24055, a equipe da SOC Prime recomenda fortemente a aplicação das regras de detecção listadas abaixo:

Possibilidade de Execução Por Linhas de Comando de PowerShell Ocultas (via cmdline)

Strings Suspeitas de Powershell (via powershell)

Chamada de Classes/Métodos .NET Suspeitos de Linha de Comando no Powershell (via process_creation)

Chamada de Métodos .NET Suspeitos do Powershell (via powershell)

Pressione o botão Explore Detections para acessar instantaneamente todas as regras Sigma dedicadas para CVE-2023-24055, acompanhadas de links CTI correspondentes, referências ATT&CK e ideias de caça à ameaça.

Explore Detections

Análise CVE-2023-24055

KeePass é uma ferramenta de código aberto extremamente popular que afirma ser um dos gerenciadores mais poderosos e seguros até o momento. No entanto, uma nova vulnerabilidade recentemente revelada que afeta o KeePass pode expor milhões de usuários ao risco de comprometimento.

Conforme explicado na pesquisa por Alex Hernandez e detalhado em um tópico dedicado no SourceForge, a vulnerabilidade em questão pode permitir que um invasor com acesso de gravação ao arquivo de configuração XML obtenha as senhas em texto claro adicionando um gatilho de exportação. O exploit PoC para CVE-2023-24055, um scanner para ele e uma lista de exemplos de gatilhos foram postados publicamente no GitHub de Alex Hernandez.

Notavelmente, o fornecedor afirma que o banco de dados de senhas não é destinado a ser seguro contra um invasor que tenha esse nível de acesso a um PC local. Além disso, a lista de versões afetadas do KeePass ainda está em disputa. Por agora, considera-se que o KeePass v2.5x está afetado. Os usuários são instados a atualizar para a última versão 2.53 para prevenir comprometimentos potenciais.

Aumente suas capacidades de detecção de ameaças e acelere a velocidade de caça a ameaças equipado com Sigma, MITRE ATT&CK e Detecção como Código para sempre ter algoritmos de detecção elaborados contra qualquer TTP de adversário ou qualquer vulnerabilidade explorável à mão. Obtenha 800 regras para CVEs existentes para se defender proativamente contra ameaças que mais importam. Alcance instantaneamente mais de 140 regras Sigma gratuitamente ou obtenha todos os algoritmos de detecção relevantes sob demanda em https://my.socprime.com/pricing/.