KeePass-Sicherheitslücke gefährdet Master-Passwörter

Zum zweiten Mal in den letzten Monaten hat ein Sicherheitsforscher eine Schwachstelle im weit verbreiteten Open-Source-Passwortmanager KeePass entdeckt.

Dies betrifft KeePass 2.X-Versionen für Windows, Linux und macOS und bietet Angreifern die Möglichkeit, das Master-Passwort eines Ziels im Klartext aus einem Speicherauszug abzurufen – selbst wenn der Arbeitsbereich des Benutzers geschlossen ist.

Der Betreuer von KeePass hat zwar einen Fix für den Fehler entwickelt, dieser wird jedoch erst mit der Veröffentlichung von Version 2.54 (voraussichtlich Anfang Juni) allgemein verfügbar sein. Inzwischen hat der Forscher, der die Sicherheitslücke entdeckt hat, nachverfolgt CVE-2023-32784 - hat schon einen Proof-of-Concept veröffentlicht dafür auf GitHub.

„Es ist keine Code-Ausführung auf dem Zielsystem erforderlich, lediglich ein Speicherauszug“, sagte der Sicherheitsforscher „vdhoney“ auf GitHub. „Es spielt keine Rolle, woher der Speicher kommt – er kann der Prozessspeicherauszug, die Auslagerungsdatei (pagefile.sys), die Ruhezustandsdatei (hiberfil.sys) oder der RAM-Speicherauszug des gesamten Systems sein.“

Ein Angreifer könne das Master-Passwort auch dann abrufen, wenn der lokale Benutzer den Arbeitsbereich gesperrt hat und selbst nachdem KeePass nicht mehr ausgeführt wird, sagte der Forscher.

Vdhoney beschrieb die Sicherheitslücke als eine, die nur ein Angreifer mit Lesezugriff auf das Dateisystem oder den RAM des Hosts ausnutzen könne. Oftmals ist es dafür jedoch nicht erforderlich, dass ein Angreifer physischen Zugriff auf ein System hat. Remote-Angreifer verschaffen sich diesen Zugriff heutzutage routinemäßig über Schwachstellen-Exploits, Phishing-Angriffe, Remote-Access-Trojaner und andere Methoden.

„Solange Sie nicht damit rechnen, gezielt von einer anspruchsvollen Person angegriffen zu werden, würde ich Ruhe bewahren“, fügte der Forscher hinzu.

Vdhoney sagte, die Sicherheitslücke habe damit zu tun, wie eine benutzerdefinierte KeyPass-Box zur Eingabe von Passwörtern namens „SecureTextBoxEx“ Benutzereingaben verarbeitet. Wenn der Benutzer ein Passwort eingibt, bleiben Zeichenfolgen übrig, die es einem Angreifer ermöglichen, das Passwort im Klartext wieder zusammenzusetzen, sagte der Forscher. „Wenn Sie beispielsweise ‚Passwort‘ eingeben, werden folgende übrig gebliebene Zeichenfolgen angezeigt: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.“

Patch Anfang Juni

In einer Diskussionsthread auf SourceForgeKeePass-Betreuer Dominik Reichl erkannte das Problem an und sagte, er habe zwei Verbesserungen am Passwort-Manager implementiert, um das Problem zu beheben.

Die Verbesserungen werden zusammen mit anderen sicherheitsrelevanten Funktionen in der nächsten KeePass-Version (2.54) enthalten sein, sagte Reichel. Er gab zunächst an, dass dies irgendwann in den nächsten zwei Monaten geschehen würde, änderte jedoch später den voraussichtlichen Liefertermin für die neue Version auf Anfang Juni.

„Zur Klarstellung: ‚innerhalb der nächsten zwei Monate‘ war als Obergrenze gemeint“, sagte Reichl. „Eine realistische Schätzung für die Veröffentlichung von KeePass 2.54 ist wahrscheinlich ‚Anfang Juni‘ (also 2-3 Wochen), aber ich kann das nicht garantieren.“

Fragen zur Passwort-Manager-Sicherheit

Für KeePass-Benutzer ist dies das zweite Mal in den letzten Monaten, dass Forscher ein Sicherheitsproblem bei der Software aufgedeckt haben. Im Februar hat der Forscher Alex Hernandez zeigte, wie ein Angreifer mit Schreibzugriff auf die XML-Konfigurationsdatei von KeePass könnte diese so bearbeiten, dass Klartext-Passwörter aus der Passwortdatenbank abgerufen und stillschweigend auf einen vom Angreifer kontrollierten Server exportiert werden.

Obwohl der Schwachstelle eine formelle Kennung zugewiesen wurde (CVE-2023-24055), KeePass selbst bestritt diese Beschreibung und vorausgesetzt, der Passwort-Manager ist nicht darauf ausgelegt, Angriffen von jemandem standzuhalten, der bereits über ein hohes Maß an Zugriff auf einen lokalen PC verfügt.

„Kein Passwort-Manager ist sicher zu verwenden, wenn die Betriebsumgebung durch einen böswilligen Akteur kompromittiert wird“, hatte KeePass damals festgestellt. „Für die meisten Benutzer ist eine Standardinstallation von KeePass sicher, wenn sie in einer rechtzeitig gepatchten, ordnungsgemäß verwalteten und verantwortungsvoll genutzten Windows-Umgebung ausgeführt wird.“

Die neue KeyPass-Sicherheitslücke dürfte die Diskussionen rund um die Sicherheit von Passwort-Managern noch länger am Leben halten. In den letzten Monaten kam es zu mehreren Vorfällen, die Sicherheitsprobleme im Zusammenhang mit wichtigen Passwort-Manager-Technologien deutlich machten. Im Dezember zum Beispiel LastPass hat einen Vorfall offengelegt Dabei griff ein Bedrohungsakteur mithilfe von Anmeldeinformationen aus einem früheren Einbruch in das Unternehmen auf Kundendaten zu, die bei einem externen Cloud-Dienstanbieter gespeichert waren.

Im Januar Forscher bei Google warnte vor Passwort-Managern wie Bitwarden, Dashlane und Safari Password Manager, die Benutzeranmeldeinformationen automatisch ausfüllen, ohne dass eine Aufforderung zu nicht vertrauenswürdigen Seiten erfolgt.

Inzwischen haben Bedrohungsakteure ihre Angriffe auf Passwort-Manager-Produkte verstärkt, was wahrscheinlich auf solche Probleme zurückzuführen ist.

Im Januar Bitwarden und 1Password berichteten über Beobachtungen bezahlte Werbung in den Google-Suchergebnissen, die Benutzer, die die Anzeigen öffneten, auf Websites verwies, auf denen sie gefälschte Versionen ihrer Passwort-Manager herunterladen konnten.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
• Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
• Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
• Quelle: https://www.darkreading.com/application-security/keepass-vulnerability-imperils-master-passwords