Wie ein Sicherheitsforscher mit dem Pseudonym „vdohney“ berichtet, ist KeePass anfällig für das Extrahieren des Master-Passworts aus dem Speicher der Anwendung. Angreifer mit Zugriff auf ein kompromittiertes Gerät können so das Master-Passwort abrufen, selbst wenn das Programm eigentlich gesperrt und die Daten verschlüsselt sind. Seine Erkenntnisse hat vdohney in einem Proof-of-Concept-Tool veröffentlicht, in dem auch gezeigt wird, wie man vorgehen muss, um sich das Master-Passwort anzueignen.
Die Sicherheitslücke mit dem Kürzel CVE-2023-32784 ermöglicht die Wiederherstellung des KeePass-Master-Passworts, abgesehen von den ersten ein oder zwei Zeichen, in Klartextform, unabhängig davon, ob der KeePass-Arbeitsbereich gesperrt ist, oder möglicherweise sogar, wenn das Programm geschlossen ist. Dafür sei keine Codeausführung auf dem Zielsystem erforderlich, ein Auszug des Speichers aus dem Prozessdump, der Auslagerungsdatei (pagefile.sys), der Hibernation-Datei (hiberfil.sys) oder der RAM-Dump des gesamten Systems würden ausreichen. Da jedoch ein Zugriff auf den Speicher erfolgen muss, müssen die Angreifer entweder physischen Zugriff auf den Computer haben oder den Speicher mittels Malware-Infektion des Zielrechners auslesen.
Grund für die Sicherheitslücke scheint ein speziell entwickeltes Textfeld zur Passworteingabe zu sein, das Spuren von jedem Zeichen, das der Benutzer eingibt, im Speicher hinterlässt. Das Textfeld kommt nicht nur bei der Eingabe des Master-Passworts zum Einsatz, sondern auch an anderer Stelle in der App, etwa bei den Eingabefeldern für die gespeicherten Passwörter. Betroffen ist die aktuelle Version 2.53.1 von KeePass. Da es sich bei KeePass um Open-Source-Software handelt, können darüber hinaus auch andere, darauf basierende Programme anfällig für diesen Angriffsvektor sein. KeePass 1.X, KeePassXC und Strongbox scheinen hingegen nicht von CVE-2023-32784 betroffen zu sein, so der Entwickler des Passwort-Dumping-Tools.
Ein Softwareupdate, das die Sicherheitslücke schließt, ist noch nicht verfügbar, doch die Entwickler von KeePass arbeiten bereits daran und haben für Juli 2023 einen Patch in Aussicht gestellt. Etwas weniger lang soll es dauen, bis die nächste Version 2.54.1 von KeePass verfügbar ist. Auch hier soll die Sicherheitslücke bereits geschlossen sein. In der Zwischenzeit sollten Nutzer der App besonders vorsichtig sein.
Über die 8com GmbH & Co. KG
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de