Eine neu entdeckte Sicherheitslücke in KeePass, einem beliebten Passwort-Manager, könnte es Angreifern ermöglichen, das Master-Passwort im Klartext auszulesen. Allerdings ist zu beachten, dass ein Angriff ein hohes Maß an technischem Wissen erfordert und bereits Zugang zum betroffenen System bestehen muss.
Unberechtigter Zugriff
KeePass speichert alle Passwörter und URLs verschlüsselt und benötigt für den Zugriff das Master-Passwort. Sollte dieses Master-Passwort kompromittiert werden, könnten potentielle Angreifer auf alle gespeicherten Passwörter zugreifen.
Die Schwachstelle wurde von einem Sicherheitsforscher entdeckt und auf Sourceforge veröffentlicht. Das Passwort lässt sich aus einem Speicherabbild rekonstruieren. Die Schwachstelle trägt den Code CVE-2023-32784 und wurde von den Entwicklern von KeePass bestätigt.
Der Angriff funktioniert mit der aktuellen KeePass-Version 2.x in der Standardkonfiguration durch Zugriff auf die Auslagerungs- oder Hibernation-Datei von Windows. Das Sicherheitsproblem liegt im benutzerdefinierten Passworteingabefeld „SecureTextBoxEx“. Zu jedem eingegebenen Zeichen gibt es Spuren, die eine Rekonstruktion ermöglichen.
Der Anfangsbuchstabe des Passworts bleibt in der Proof-of-Concept-Demonstration (PoC) verborgen. Nur der Rest des Passworts wird angezeigt. Dies mag auf den ersten Blick wie eine kleine Erleichterung erscheinen, aber es dürfte nicht sehr schwierig sein, den Anfangsbuchstaben zu erraten, wenn der Rest des Master-Passworts bereits bekannt ist.
Die Entwickler von KeePass haben angekündigt, die Lücke in der nächsten Version 2.54, die für Juli geplant ist, zu schließen.
Das Problem ist nicht ganz neu
KeePass hatte bereits im Jahr 2020 mit einer ähnlichen Situation zu kämpfen, als c’t-Redakteure Master-Passwörter diverser Passwortmanager aus Speicherabbildern auslesen konnten.