- Beiträge
- 503
- Punkte
- 63
Das Entwicklerteam hinter der Open-Source-Passwortverwaltungssoftware KeePass bestreitet eine neu entdeckte Sicherheitslücke, die es Angreifern ermöglicht, die gesamte Datenbank heimlich im Klartext zu exportieren.
KeePass ist ein sehr beliebter Open-Source-Passwortmanager, der die Verwaltung von Passwörtern über eine lokal gespeicherte Datenbank ermöglicht, anstatt über eine in der Cloud gehostete Datenbank wie LastPass oder Bitwarden.
Um diese lokalen Datenbanken zu sichern, können Benutzer sie mit einem Master-Passwort verschlüsseln, damit Malware oder ein Bedrohungsakteur nicht einfach die Datenbank stehlen und automatisch Zugriff auf die darin gespeicherten Passwörter erhalten kann.
Die neue Schwachstelle wird jetzt als CVE-2023-24055 geführt und ermöglicht es Bedrohungsakteuren mit Schreibzugriff auf das System eines Ziels, die XML-Konfigurationsdatei von KeePass zu ändern und einen bösartigen Auslöser einzuschleusen, der die Datenbank einschließlich aller Benutzernamen und Passwörter im Klartext exportiert.
Wenn die Zielperson KeePass das nächste Mal startet und das Master-Passwort eingibt, um die Datenbank zu öffnen und zu entschlüsseln, wird die Exportregel ausgelöst, und der Inhalt der Datenbank wird in einer Datei gespeichert, die die Angreifer später auf ein System unter ihrer Kontrolle exfiltrieren können.
Dieser Exportvorgang wird jedoch im Hintergrund gestartet, ohne dass der Benutzer benachrichtigt wird oder KeePass vor dem Export die Eingabe des Master-Passworts zur Bestätigung verlangt, so dass der Angreifer unbemerkt Zugang zu allen gespeicherten Passwörtern erlangen kann.
Nachdem dies gemeldet und mit einer CVE-ID versehen wurde, baten die Benutzer das Entwicklerteam von KeePass, eine Bestätigungsaufforderung vor stillen Datenbankexporten wie dem durch eine böswillig geänderte Konfigurationsdatei ausgelösten hinzuzufügen oder eine Version der Anwendung bereitzustellen, die ohne die Exportfunktion auskommt.
Eine weitere Forderung ist die Hinzufügung einer konfigurierbaren Markierung zur Deaktivierung des Exports innerhalb der eigentlichen KeePass-Datenbank, die dann nur durch Kenntnis des Master-Passworts geändert werden könnte.
Seit der Zuweisung von CVE-2023-24055 wurde bereits ein Proof-of-Concept-Exploit im Internet veröffentlicht, was es Malware-Entwicklern wahrscheinlich leichter macht, Informationsdiebe mit der Fähigkeit auszustatten, den Inhalt von KeePass-Datenbanken auf kompromittierten Geräten zu entladen und zu stehlen.
Schwachstelle von KeePass-Entwicklern bestritten
Während die CERT-Teams der Niederlande und Belgiens ebenfalls Sicherheitshinweise zu CVE-2023-24055 herausgegeben haben, argumentiert das KeePass-Entwicklungsteam, dass dies nicht als Schwachstelle eingestuft werden sollte, da Angreifer mit Schreibzugriff auf das Gerät eines Ziels die in der KeePass-Datenbank enthaltenen Informationen auch auf anderem Wege erhalten können.
Tatsächlich beschreibt eine "Sicherheitsprobleme"-Seite im KeePass Help Center das Problem "Schreibzugriff auf die Konfigurationsdatei" seit mindestens April 2019 als "nicht wirklich eine Sicherheitsschwachstelle von KeePass."
Wenn der Benutzer KeePass als reguläres Programm installiert hat und die Angreifer Schreibzugriff haben, können sie auch "verschiedene Arten von Angriffen durchführen." Bedrohungsakteure können auch die ausführbare Datei von KeePass durch Malware ersetzen, wenn der Benutzer die portable Version ausführt.
"In beiden Fällen bedeutet ein Schreibzugriff auf die KeePass-Konfigurationsdatei, dass ein Angreifer weitaus mächtigere Angriffe durchführen kann, als nur die Konfigurationsdatei zu modifizieren (und diese Angriffe können sich letztlich auch auf KeePass auswirken, unabhängig von einem Schutz der Konfigurationsdatei)", erklären die KeePass-Entwickler.
"Diese Angriffe können nur dadurch verhindert werden, dass die Umgebung sicher gehalten wird (durch die Verwendung einer Antiviren-Software, einer Firewall, das Nichtöffnen unbekannter E-Mail-Anhänge usw.). KeePass kann nicht auf magische Weise sicher in einer unsicheren Umgebung laufen."
