Einem Sicherheitsforscher ist es gelungen, Master-Passwörter von KeePass auszulesen. Entsprechende Angriffe sind allerdings aufwendig.
Aufgrund einer Schwachstelle im Passwortmanager KeePass ist der Zugriff auf das Master-Passwort im Klartext möglich. Auch wenn ein Sicherheitspatch noch aussteht, müssen Nutzer nicht gleich in Panik verfallen: Für eine erfolgreiche Attacke müssen Angreifer einige Hürden überwinden.
Alle Daten im KeePass-Tresor wie Passwörter und URLs sind verschlüsselt. Der Zugriff darauf gelingt nur nach der Eingabe des Master-Passworts. Demzufolge ist es ein besonders schützenswertes Gut. Gelangt es in die Finger von Kriminellen, könnten sie den Tresor öffnen und hätten auf alle gespeicherten Passwörter Zugriff. Das kommt einem Super-GAU gleich.
Dem Sicherheitsforscher zufolge klappt sein Vorgehen mit der aktuellen KeePass-2.x-Version in den Standardeinstellungen. Dafür reiche der Zugriff auf die Auslagerungs- oder Hibernation-Datei von Windows aus. Es sei egal, ob der Workspace gesperrt ist oder nicht. Zum Auslesen müsse er keinen eigenen Code ausführen, erläutert der Sicherheitsforscher.
Der Grund für das Sicherheitsproblem ist das benutzerdefinierte Kennworteingabefeld "SecureTextBoxEx". Darin finden sich zu jedem eingetippten Zeichen Spuren, die eine Rekonstruktion zulassen.
Die Entwickler wollen die Schwachstelle in KeePass 2.54 schließen. Diese Version soll im Juli erscheinen. So eine Attacke ist aber nicht ohne Weiteres möglich: Um diesen Speicherbereich auslesen zu können, benötigt ein Angreifer bereits weitreichenden Zugriff auf ein System. Attacken sind also nicht ohne Weiteres möglich und ein Angreifer muss sich bereits vorab etwa über das erfolgreiche Ausnutzen einer anderen Sicherheitslücke Systemzugriff verschafft haben.
Update 19.05.2023 11:34 Uhr
Stelle mit Open-Source-Verweis gekürzt.
Quelle; heise
Aufgrund einer Schwachstelle im Passwortmanager KeePass ist der Zugriff auf das Master-Passwort im Klartext möglich. Auch wenn ein Sicherheitspatch noch aussteht, müssen Nutzer nicht gleich in Panik verfallen: Für eine erfolgreiche Attacke müssen Angreifer einige Hürden überwinden.
Alle Daten im KeePass-Tresor wie Passwörter und URLs sind verschlüsselt. Der Zugriff darauf gelingt nur nach der Eingabe des Master-Passworts. Demzufolge ist es ein besonders schützenswertes Gut. Gelangt es in die Finger von Kriminellen, könnten sie den Tresor öffnen und hätten auf alle gespeicherten Passwörter Zugriff. Das kommt einem Super-GAU gleich.
Unbefugter Zugriff
Einem Beitrag auf Sourceforge zufolge ist es nun einem Sicherheitsforscher gelungen, das Master-Passwort im Klartext auszulesen. Als Basis dafür diente ein Speicherabbild, aus dem er das Master-Passwort eigenen Angaben zufolge rekonstruieren konnte. Die KeePass-Entwickler haben die Schwachstelle (CVE-2023-32784) mittlerweile bestätigt.Dem Sicherheitsforscher zufolge klappt sein Vorgehen mit der aktuellen KeePass-2.x-Version in den Standardeinstellungen. Dafür reiche der Zugriff auf die Auslagerungs- oder Hibernation-Datei von Windows aus. Es sei egal, ob der Workspace gesperrt ist oder nicht. Zum Auslesen müsse er keinen eigenen Code ausführen, erläutert der Sicherheitsforscher.
Der Grund für das Sicherheitsproblem ist das benutzerdefinierte Kennworteingabefeld "SecureTextBoxEx". Darin finden sich zu jedem eingetippten Zeichen Spuren, die eine Rekonstruktion zulassen.
Die Entwickler wollen die Schwachstelle in KeePass 2.54 schließen. Diese Version soll im Juli erscheinen. So eine Attacke ist aber nicht ohne Weiteres möglich: Um diesen Speicherbereich auslesen zu können, benötigt ein Angreifer bereits weitreichenden Zugriff auf ein System. Attacken sind also nicht ohne Weiteres möglich und ein Angreifer muss sich bereits vorab etwa über das erfolgreiche Ausnutzen einer anderen Sicherheitslücke Systemzugriff verschafft haben.
Master-Passwort-Problematik nicht neu
Bereits 2020 ist es Redakteuren von c't gelungen, die Master-Passwörter von vielen Passwortmanagern im Klartext aus Speicherabbildern auszulesen. Bei dieser Prüfung hat KeePass aber standgehalten und das Master-Passwort blieb im Verborgenen.Update 19.05.2023 11:34 Uhr
Stelle mit Open-Source-Verweis gekürzt.
Quelle; heise
