Wer sich an die Regeln zu sicheren Passwörtern hält und wie empfohlen für jedes Benutzerkonto ein eigenes Passwort verwendet, braucht ein gutes Gedächtnis – oder ein Programm, das sich die vielen verschiedenen Passwörter merkt, oder sogar selbstständig generiert. Ein solcher Passwortmanager sollte angesichts der darin gespeicherten sensiblen Daten vor allem sicher und einfach zu bedienen sein. Um auf die so hinterlegten Passwörter zuzugreifen, benötigt der Nutzer lediglich ein einziges sogenanntes Master-Passwort. Doch wie bei allen Programmen können sich auch hier Fehler in den Code einschleichen, die dann zu einer Sicherheitslücke führen. Jüngstes Beispiel dafür ist der beliebte Passwortmanager KeePass.
Wie ein Sicherheitsforscher mit dem Pseudonym „vdohney“ berichtet, ist KeePass anfällig für das Extrahieren des Master-Passworts aus dem Speicher der Anwendung. Angreifer mit Zugriff auf ein kompromittiertes Gerät können so das Master-Passwort abrufen, selbst wenn das Programm eigentlich gesperrt und die Daten verschlüsselt sind. Seine Erkenntnisse hat vdohney in einem Proof-of-Concept-Tool veröffentlicht, in dem auch gezeigt wird, wie man vorgehen muss, um sich das Master-Passwort anzueignen.
Die Sicherheitslücke mit dem Kürzel CVE-2023-32784 ermöglicht die Wiederherstellung des KeePass-Master-Passworts, abgesehen von den ersten ein oder zwei Zeichen, in Klartextform, unabhängig davon, ob der KeePass-Arbeitsbereich gesperrt ist, oder möglicherweise sogar, wenn das Programm geschlossen ist. Dafür sei keine Codeausführung auf dem Zielsystem erforderlich, ein Auszug des Speichers aus dem Prozessdump, der Auslagerungsdatei (pagefile.sys), der Hibernation-Datei (hiberfil.sys) oder der RAM-Dump des gesamten Systems würden ausreichen. Da jedoch ein Zugriff auf den Speicher erfolgen muss, müssen die Angreifer entweder physischen Zugriff auf den Computer haben oder den Speicher mittels Malware-Infektion des Zielrechners auslesen.
Grund für die Sicherheitslücke scheint ein speziell entwickeltes Textfeld zur Passworteingabe zu sein, das Spuren von jedem Zeichen, das der Benutzer eingibt, im Speicher hinterlässt. Das Textfeld kommt nicht nur bei der Eingabe des Master-Passworts zum Einsatz, sondern auch an anderer Stelle in der App, etwa bei den Eingabefeldern für die gespeicherten Passwörter. Betroffen ist die aktuelle Version 2.53.1 von KeePass. Da es sich bei KeePass um Open-Source-Software handelt, können darüber hinaus auch andere, darauf basierende Programme anfällig für diesen Angriffsvektor sein. KeePass 1.X, KeePassXC und Strongbox scheinen hingegen nicht von CVE-2023-32784 betroffen zu sein, so der Entwickler des Passwort-Dumping-Tools.
Ein Softwareupdate, das die Sicherheitslücke schließt, ist noch nicht verfügbar, doch die Entwickler von KeePass arbeiten bereits daran und haben für Juli 2023 einen Patch in Aussicht gestellt. Etwas weniger lang soll es dauen, bis die nächste Version 2.54.1 von KeePass verfügbar ist. Auch hier soll die Sicherheitslücke bereits geschlossen sein. In der Zwischenzeit sollten Nutzer der App besonders vorsichtig sein.
Wie ein Sicherheitsforscher mit dem Pseudonym „vdohney“ berichtet, ist KeePass anfällig für das Extrahieren des Master-Passworts aus dem Speicher der Anwendung. Angreifer mit Zugriff auf ein kompromittiertes Gerät können so das Master-Passwort abrufen, selbst wenn das Programm eigentlich gesperrt und die Daten verschlüsselt sind. Seine Erkenntnisse hat vdohney in einem Proof-of-Concept-Tool veröffentlicht, in dem auch gezeigt wird, wie man vorgehen muss, um sich das Master-Passwort anzueignen.
Die Sicherheitslücke mit dem Kürzel CVE-2023-32784 ermöglicht die Wiederherstellung des KeePass-Master-Passworts, abgesehen von den ersten ein oder zwei Zeichen, in Klartextform, unabhängig davon, ob der KeePass-Arbeitsbereich gesperrt ist, oder möglicherweise sogar, wenn das Programm geschlossen ist. Dafür sei keine Codeausführung auf dem Zielsystem erforderlich, ein Auszug des Speichers aus dem Prozessdump, der Auslagerungsdatei (pagefile.sys), der Hibernation-Datei (hiberfil.sys) oder der RAM-Dump des gesamten Systems würden ausreichen. Da jedoch ein Zugriff auf den Speicher erfolgen muss, müssen die Angreifer entweder physischen Zugriff auf den Computer haben oder den Speicher mittels Malware-Infektion des Zielrechners auslesen.
Grund für die Sicherheitslücke scheint ein speziell entwickeltes Textfeld zur Passworteingabe zu sein, das Spuren von jedem Zeichen, das der Benutzer eingibt, im Speicher hinterlässt. Das Textfeld kommt nicht nur bei der Eingabe des Master-Passworts zum Einsatz, sondern auch an anderer Stelle in der App, etwa bei den Eingabefeldern für die gespeicherten Passwörter. Betroffen ist die aktuelle Version 2.53.1 von KeePass. Da es sich bei KeePass um Open-Source-Software handelt, können darüber hinaus auch andere, darauf basierende Programme anfällig für diesen Angriffsvektor sein. KeePass 1.X, KeePassXC und Strongbox scheinen hingegen nicht von CVE-2023-32784 betroffen zu sein, so der Entwickler des Passwort-Dumping-Tools.
Ein Softwareupdate, das die Sicherheitslücke schließt, ist noch nicht verfügbar, doch die Entwickler von KeePass arbeiten bereits daran und haben für Juli 2023 einen Patch in Aussicht gestellt. Etwas weniger lang soll es dauen, bis die nächste Version 2.54.1 von KeePass verfügbar ist. Auch hier soll die Sicherheitslücke bereits geschlossen sein. In der Zwischenzeit sollten Nutzer der App besonders vorsichtig sein.
