Der beliebte Passwort-Manager KeePass verfügt über einen besorgniserregenden Exploit, der möglicherweise dazu führen könnte, dass Ihr Master-Passwort gestohlen wird.
Ein Sicherheitsforscher hat veröffentlicht ein Proof-of-Concept, der zeigt, wie ein Bedrohungsakteur das Master-Passwort eines Benutzers aus dem Speicher der KeePass-App extrahieren könnte, indem er einen Fehler ausnutzt, der als verfolgt wird CVE-2023-3278 .
„KeePass Master Password Dumper ist ein einfaches Proof-of-Concept-Tool, mit dem das Master-Passwort aus dem Speicher von KeePass gelöscht wird. Abgesehen vom ersten Passwortzeichen ist es größtenteils in der Lage, das Passwort im Klartext wiederherzustellen“, behauptet der Forscher.
Keine Codeausführung
Sie fügten hinzu: „Es ist keine Codeausführung auf dem Zielsystem erforderlich, nur ein Speicherauszug. Es spielt keine Rolle, woher der Speicher kommt – es kann sich um den Prozessspeicherauszug, die Auslagerungsdatei (pagefile.sys) oder die Ruhezustandsdatei (hiberfil) handeln. sys) oder RAM-Dump des gesamten Systems. Es spielt keine Rolle, ob der Arbeitsbereich gesperrt ist oder nicht.
Das Master-Passwort kann auch aus dem RAM des Systems extrahiert werden, nachdem KeePass nicht mehr ausgeführt wird. Der Forscher stellte jedoch fest, dass die Chancen auf eine erfolgreiche Extraktion sinken, je mehr Zeit seit dem Schließen der App vergangen ist.
Der PoC wurde unter Windows getestet, der Forscher behauptet jedoch, dass der Exploit auch auf macOS- und Linux-Versionen funktioniert.
Der PoC nutzt ein speziell entwickeltes Textfeld zur Passworteingabe, SecureTextBoxEx, das die vom Benutzer eingegebenen Zeichen im Systemspeicher festlegt. Dieses Feld wird nicht nur beim Eingeben des Master-Passworts verwendet, sondern auch beim Bearbeiten anderer gespeicherter Passwörter, sodass auch diese kompromittiert werden könnten.
Der Fehler betrifft KeePass 2.53.1 und alle Forks (die App ist Open Source), die auf der ursprünglichen, in .NET geschriebenen KeePass 2.X-App basieren. Der Forscher gibt an, dass neben möglichen anderen Versionen auch KeePassXC, Strongbox und KeePass 1.X nicht betroffen sind.
KeePass-Entwickler Dominik Reichl bestätigt das Vorliegen der Schwachstelle. A Fix soll im Juni mit der Version 2.54 erscheinen. Das Risiko eines Angriffs in freier Wildbahn ist jedoch einigermaßen begrenzt.
Der Forscher sagt, dass, wenn Ihr System bereits mit Malware infiziert ist, dieser Exploit dazu führen könnte, dass sie beim Versuch, Ihr Master-Passwort zu stehlen, unentdeckt bleiben, da keine Codeausführung erforderlich ist. Wenn Ihr System jedoch sauber ist, sollte alles in Ordnung sein, denn „mit dieser Erkenntnis allein kann niemand Ihre Passwörter aus der Ferne über das Internet stehlen“, so der Forscher.