Der Open-Source-Passwortmanager KeePass hat Behauptungen widerlegt, dass er eine schwerwiegende Sicherheitslücke aufweist, die einen unzulässigen Zugriff auf die Passwort-Tresore der Benutzer ermöglicht.
KeePass ist in erster Linie für den individuellen Gebrauch konzipiert und nicht als Passwort-Manager für Unternehmen. Er unterscheidet sich von vielen gängigen Passwort-Managern darin, dass er seine Datenbank nicht auf Cloud-Servern speichert; Stattdessen werden sie lokal auf dem Gerät des Benutzers gespeichert.
Die neu entdeckte Schwachstelle, bekannt als CVE-2023-24055 (öffnet in neuem Tab)ermöglicht es Hackern, die bereits Zugriff auf das System eines Benutzers erhalten haben, ihren gesamten Tresor im Klartext zu exportieren, indem sie eine XML-Konfigurationsdatei ändern und alle ihre Benutzernamen und Passwörter vollständig offenlegen.
Nicht unser Problem
Wenn das Opfer KeePass öffnet und sein Master-Passwort eingibt, um auf seinen Tresor zuzugreifen, wird dies den Export der Datenbank in eine Datei auslösen, die die Hacker stehlen können. Der Prozess verrichtet seine Arbeit ruhig im Hintergrund, ohne KeePass oder Ihr Betriebssystem zu benachrichtigen, sodass keine Verifizierung oder Authentifizierung erforderlich ist und das Opfer nicht klüger wird.
Benutzer auf a Sourceforge-Forum (öffnet in neuem Tab) haben KeePass gebeten, die Anforderung zu implementieren, dass ihr Master-Passwort eingegeben werden muss, bevor der Export stattfinden darf, oder die Exportfunktion standardmäßig zu deaktivieren und das Master-Passwort zu verlangen, um sie wieder zu aktivieren.
Ein praktikabler Exploit dieser Schwachstelle wurde bereits online geteilt, sodass es nur eine Frage der Zeit ist, bis sie von Malware-Entwicklern weiterentwickelt und verbreitet wird.
Obwohl KeePass die Existenz der Schwachstelle CVE-2023-24055 nicht leugnet, argumentiert KeePass, dass es nicht vor Bedrohungsakteuren schützen kann, die bereits die Kontrolle über Ihr System haben. Sie sagten, dass Bedrohungsakteure mit Schreibzugriff auf das System eines Benutzers ihren Passwort-Tresor mit allen möglichen Mitteln stehlen könnten, was sie nicht verhindern könnten.
Es wurde bereits im April 2019 als Problem mit dem „Schreibzugriff auf die Konfigurationsdatei“ beschrieben, wobei KeePass behauptete, es handele sich nicht um eine Schwachstelle, die den Passwort-Manager selbst betreffe.
Die Entwickler sagten: „Der Schreibzugriff auf die KeePass-Konfigurationsdatei impliziert normalerweise, dass ein Angreifer tatsächlich viel mächtigere Angriffe ausführen kann, als die Konfigurationsdatei zu ändern (und diese Angriffe können letztendlich auch KeePass betreffen, unabhängig von einem Konfigurationsdateischutz)“ .
„Diese Angriffe können nur verhindert werden, indem die Umgebung sicher gehalten wird (durch die Verwendung einer Antivirensoftware, einer Firewall, das Öffnen unbekannter E-Mail-Anhänge usw.). KeePass kann in einer unsicheren Umgebung nicht auf magische Weise sicher ausgeführt werden“, fügten sie hinzu.
Obwohl KeePass nicht bereit ist, zusätzliche Schutzmaßnahmen hinzuzufügen, um den unbefugten Export der XML-Datei zu verhindern, gibt es eine Problemumgehung, die Benutzer ausprobieren können. Wenn sie sich stattdessen als Benutzeradministrator anmelden, können sie eine erzwungene Konfigurationsdatei erstellen, die das Auslösen des Exports verhindert. Sie müssen zunächst sicherstellen, dass niemand sonst Schreibzugriff auf KeePass-Dateien und -Verzeichnisse hat, bevor sie das Admin-Konto aktivieren.
Aber auch das ist nicht narrensicher, da Angreifer eine Kopie der ausführbaren KeePass-Datei in einem anderen Verzeichnis ausführen könnten, das von dem Verzeichnis getrennt ist, in dem die erzwungene Konfigurationsdatei gespeichert ist, was bedeutet, dass laut KeePass „diese Kopie die erzwungene Konfigurationsdatei nicht kennt, die woanders gespeichert ist, [therefore] es werden keine Einstellungen erzwungen.”
- Möchten Sie Ihr System fest sperren? Dann sollten Sie die Verwendung der besten Sicherheitsschlüssel in Betracht ziehen