lunes, 28 de diciembre de 2015

ROMPIENDO KEEPASS PASSWORD SAFE

ROMPIENDO KEEPASS PASSWORD SAFE


Si eres de los usuarios que utilizan KeePass como gestor de contraseñas, entonces deberías ponerte a temblar. Denandz acaba de publicar una herramienta en GitHub que puede romper KeePass Password Safe...
La herramienta en cuestión se llama KeeFarce (graciosillo el nombre eh!!!).
Como sabemos, Keepass proporciona "process memory protection" cifrando las contraseñas y datos sensibles almacenadas en memoria. Genial para proteger el ataque de aplicaciones maliciosas que usan el sistema de violado en memoria para el acceso. Pero he aquí lo novedoso; KeeFarce no utiliza este medio sino inyección de DLL. La librería de enlace dinámico inyectada llama a un método de exportación de Keepass para copiar el contenido de una base de datos abierta y exportarla a CSV. El archivo resultante contiene los nombres de usuarios, contraseñas, notas y URL, todo en texto plano!

¿Cómo funciona?

Keefarce como ya comenté utiliza la inyección DLL para ejecutar código en el proceso de Keepass, generando una instancia .Net y ejecutando su payload (KeeFarceDLL.dll).
Para poder ejecutar este software, los atacantes deben, o bien tener acceso a la máquina destino o bien "engañar" a los usuarios para que le de acceso a las mismas (ingeniería social). 

KeeFarce está para arquitecturas de 32 y 64 bits, debiéndose seleccionar la que se adapte al sistema a atacar.

Para poder ejecutar satisfactoriamente el ataque, los siguiente ficheros deben estar en la misma carpeta:

  • BootstrapDLL.dll
  • KeeFarce.exe
  • KeeFarceDLL.dll
  • Microsofot.Diagnostic.Runtime.dll
Ahora sólo falta ejecutar KeeFarce.exe!


Compatibilidad

KeeFarce ha sido probado en:
  • KeePass 2.28, 2.29 y 2.30 (hasta la fecha de publicación de esta entrada es la última versión publicada) - y se ha ejecutado en Windows 8.1 - 32 y 64 bits

Podría funcionar perfectamente en máquinas más antiguas (por ejemplo un Windows 7 con el último Service Pack actualizado).

Ahora os toca a vosotros reventar sistemas... Siempre con fines educativos...

0 comentarios:

Publicar un comentario