Ein geöffnetes Schloss mit steckendem Schlüssel
Ein geöffnetes Schloss mit steckendem Schlüssel
Bildquelle: Tadamichi, Lizenz

KeePass Sicherheitslücke erlaubt Passwort-Export im Klartext

Dank dieser Sicherheitslücke in KeePass können Angreifer Deine Zugangsdaten stehlen. Vorausgesetzt, sie haben Schreibrechte auf Deinem System.

Eine neu entdeckte Sicherheitslücke im beliebten Passwortmanager KeePass soll es Angreifern ermöglichen, Zugangsdaten ihrer Opfer im Klartext aus der zugehörigen Datenbank zu exportieren. Und das völlig unbemerkt. Da der Vorgang jedoch Schreibrechte erfordert, ist das Angriffsszenario durchaus als fragwürdig zu bewerten.

Ein quelloffener Passwortmanager mit gewissen Vorzügen

Neben Cloud-basierten Lösungen wie LastPass oder Bitwarden gehört KeePass zu den beliebtesten Passwortmanagern. Und das nicht ohne Grund – so hat die quelloffene Software durch ihre lokal gespeicherte Datenbank doch gewisse Vorzüge.

KeePass-Logo
KeePass-Logo

Wo genau seine Zugangsdaten landen, ist damit nämlich Entscheidung des Anwenders. Ein KeePass-Benutzer muss also gar nicht darauf vertrauen, dass die Cloud eines Dienstleisters keine gravierenden Schwachstellen aufweist.

Wer diese Software verwendet, muss sich lediglich ein Master-Passwort merken. Damit erhält er Zugriff auf alle Passwörter, die er in seiner Datenbank abgelegt hat. Selbst wenn sich ein Unbefugter Zugang zu diesem Passwort-Tresor verschafft, steht er üblicherweise vor verschlossener Tür.

KeePass-Sicherheitslücke erlaubt Angriff über eine Konfigurationsdatei

Doch auch bei den Entwicklern dieses beliebten Passwortmanagers ist offenbar nicht alles so wasserdicht, wie es zunächst scheint. Denn eine neu entdeckte Sicherheitslücke in KeePass soll es Datendieben ermöglichen, einen Trigger in die XML-Konfigurationsdatei der Software einzuschleusen.

Dieser lässt sich mitunter dafür missbrauchen, das Programm nach der nächsten Eingabe des Master-Passworts durch den Anwender dazu zu bringen, sämtliche in der Datenbank enthaltene Benutzernamen und Passwörter im Klartext zu exportieren. Und das völlig unbemerkt und ohne jegliche Benachrichtigung.

Einzige Voraussetzung: Der Angreifer benötigt einen Schreibzugriff auf das System seines Opfers.

Erforderliche Schreibrechte ermöglichen weitere Angriffsszenarien

Doch gerade die erforderlichen Schreibrechte sind es auch, die die vermeintliche KeePass-Schwachstelle CVE-2023-24055 ad absurdum führen. Das zumindest geht aus den Erläuterungen des Entwicklerteams hervor.

Denn wer Schreibzugriff auf ein System habe, könne die Passwortdatenbank auch auf anderem Wege kompromittieren. Beispielsweise indem der Angreifer die ausführbare Datei der KeePass-Software einfach durch eine mit bösartigem Code verseuchte Variante ersetze.

„Diese Angriffe können nur dadurch verhindert werden, dass die Umgebung sicher gehalten wird (durch die Verwendung einer Antiviren-Software, einer Firewall, das Nichtöffnen unbekannter E-Mail-Anhänge usw.). KeePass kann nicht auf magische Weise sicher in einer unsicheren Umgebung laufen.“

KeePass-Entwickler

Vermeintliche Sicherheitslücke in KeePass schon seit Jahren bekannt

Wie BleepingComputer berichtet, greife das KeePass Help Center die angebliche Sicherheitslücke unter dem Titel „Schreibzugriff auf die Konfigurationsdatei“ tatsächlich schon mindestens seit April 2019 auf.

Als möglicher Workaround biete sich beispielsweise der Einsatz einer “erzwungenen Konfigurationsdatei” an. Der Inhalt dieser von einem Systemadministrator erzeugten Datei habe demnach Vorrang vor anderen Konfigurationsdateien – einschließlich der enthaltenen Trigger.

Doch auch diese Barriere lasse sich beispielsweise durch den Einsatz eines alternativen KeePass-Paketes umgehen.

„Wenn der Benutzer eine andere Kopie von KeePass ohne erzwungene Konfigurationsdatei ausführt, kennt diese Kopie die erzwungene Konfigurationsdatei nicht, die an einem anderen Ort gespeichert ist, d.h. es werden keine Einstellungen erzwungen.“

KeePass-Entwickler

Fazit: Im Idealfall solltest Du Angreifern besser einfach keine Schreibrechte auf Deinem System einräumen! 😄

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.