Passwort-Manager: Umstrittene Sicherheitslücke in KeePass beseitigt
Eine viel diskutierte Sicherheitslücke, die Einbrechern im System den Passwort-Export erleichterte, hat der Entwickler nun mit einem Update geschlossen.
(Bild: Shutterstock/selinofoto)
Eine Sicherheitslücke im Open-Source-Passwort-Manager KeePass sorgte vergangene Woche für Diskussionen: Einbrecher mit Nutzerrechten im System konnten die Konfiguration von KeePass so verändern, dass beim Start ohne weitere Rückmeldung ein Klartext-Export der Datenbank erstellt wurde (CVE-2023-24055). Mit einer aktualisierten Version stellt der Entwickler dieses Verhalten jetzt ab.
KeePass-Update: Echter Sicherheitsgewinn?
In der Version 2.53.1 hat er schlicht die Richtlinie "Export – No Key Repeat" entfernt, wodurch bei einem Passwort-Datenbank-Export jetzt immer eine Rückfrage an Nutzerinnen und Nutzer erfolgt. Diese müssen dazu nun ihren Master-Key angeben, erläutert das KeePass-Changelog.
Lesen Sie auch
Diskussion um Schwachstelle in KeePass
Ursprünglich vertrat der Entwickler die Ansicht, "dass die Kennwortdatenbank nicht gegen einen Angreifer geschützt werden muss, der über einen derartigen Zugriff auf den lokalen PC verfügt". Die Erklärung dazu ist grundsätzlich stichhaltig.
So erläuterte er, dass es sich "nicht wirklich um eine Sicherheitslücke von KeePass" handele. Wer auf die Konfigurationsdatei Zugriffsrechte habe, könne in der Regel auf das gesamte Nutzerprofil zugreifen und damit viel weitreichendere Angriffe ausführen. Bösartige Akteure könnten Schadsoftware im Autostart verankern, Desktop-Verknüpfungen verändern, Registry-Werte modifizieren oder Konfigurationsdateien anderer Software verändern und so etwa einen Webbrowser zum automatischen Öffnen einer bösartigen Webseite bringen. Bei der Nutzerschaft der portablen Version könnten Angreifer mit diesen Rechten das gesamte Programmverzeichnis zugreifen und die KeePass-Datei durch Malware ersetzen.
Angreifer mit diesen Rechten können auch KeePass selbst angreifen, ohne Zugriff auf die Konfigurationsdatei. Wenn also etwa ein Trojaner auf dem System aktiv ist, kann der auf einen Passwort-Manager und andere Software wie Webbrowser auf vielen Wegen einwirken. Die Passwörter im Passwort-Manager müssen im Infektionsfall daher in jedem Fall als kompromittiert gelten. KeePass formulierte es so: "KeePass kann nicht auf magische Weise sicher in einer unsicheren Umgebung laufen."
Umsetzung der Nutzerforderungen
Bei der jetzt gewählten Option, die Richtlinie aus der Software zu entfernen, hat der Entwickler die Forderung der Nutzer etwa im Sourceforge-Diskussionsforum umgesetzt. Der zunächst vorgebrachte Einwand, dass ein Angreifer mit den entsprechenden Rechten im System die "Export – No Key Repeat"-Richtlinie wieder in der Konfigurationsdatei aktivieren könne, erübrigt sich durch die vollständige Entfernung davon.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Die Aktualisierung ändert jedoch nichts an dem grundlegenden Problem, dass nach einem Trojaner-Befall auch die Passwörter von Betroffenen trotz des Einsatzes eines Passwort-Managers als kompromittiert gelten müssen. Diese sollten weiterhin nach einer Malware-Infektion umgehend geändert werden.
Siehe auch:
- KeePass: Download schnell und sicher von heise.de
(dmk)