Diskussion um Schwachstelle in KeePass
Eine Schwachstelle erlaubt das Ändern der KeePass-Konfiguration, wenn Nutzer bestimmte Rechte haben. Mit denen können sie jedoch viel mehr anstellen.
(Bild: peterschreiber.media/Shutterstock.com)
Eine Schwachstellenmeldung zum Open-Source-Passwort-Manager KeePass erläutert, dass Nutzer mit bestimmten Rechten am System die Konfiguration der Software verändern und so das unverschlüsselte Abspeichern der darin abgelegten Zugangsdaten erzwingen könnten. Die KeePass-Entwickler wiegeln jedoch ab: Sofern Angreifer derartige Rechte haben, können sie viel weiterreichende Attacken auf das System ausführen und auch auf anderen Wegen an die Passwörter kommen.
Die Schwachstellenbeschreibung lautet: "KeePass ermöglicht es bis Version 2.53 in einer Standardinstallation einem Angreifer, der Schreibzugriff auf die XML-Konfigurationsdatei hat, durch Hinzufügen eines Export-Triggers die Klartextpasswörter zu erhalten". Der Eintrag ergänzt einen Hinweis: "Der Hersteller vertritt den Standpunkt, dass die Kennwortdatenbank nicht gegen einen Angreifer geschützt werden muss, der über einen derartigen Zugriff auf den lokalen PC verfügt."
KeePass: Diskussionen um Sicherheitslücke
Die Sicherheitslücke mit der CVE-Nummer CVE-2023-24055 hat inzwischen von der National Vulnerability Database einen CVSS-Wert von 5.5, entsprechend einem mittleren Risiko, erhalten. Im Sourceforge-Diskussionsforum gibt es etwa die Forderung, dass KeePass vor einem Export die Zustimmung des Nutzers einholen sollte. Die Antwort darauf: Es lasse sich eine Option in den Richtlinien ausschalten, sodass ein Bestätigungsdialog erscheint. Jedoch könne ein Angreifer, der auf die Konfigurationsdatei zugreifen darf, das auch ganz einfach deaktivieren.
Auf der KeePass-Webseite erläutern die Entwickler, dass es sich "nicht wirklich um eine Sicherheitslücke von KeePass" handele. Wer auf die Konfigurationsdatei Zugriffsrechte habe, könne in der Regel auf das gesamte Nutzerprofil zugreifen und damit viel weitreichendere Angriffe ausführen. Ein bösartiger Akteur könne Schadsoftware im Autostart verankern, Desktop-Verknüpfungen verändern, Registry-Werte modifizieren oder Konfigurationsdateien anderer Software verändern und so etwa einen Webbrowser zum automatischen Öffnen einer bösartigen Webseite bringen. Bei Nutzerinnen und Nutzern der portablen Version könnten Angreifer mit diesen Rechten das gesamte Programmverzeichnis zugreifen und die KeePass-Datei durch Malware ersetzen.
Am Ende könnten Angreifer mit diesen Rechten auch KeePass selbst angreifen, ohne Zugriff auf die Konfigurationsdatei. Im Klartext: Etwa ein Trojaner auf dem System kann auf einen Passwort-Manager und anderer Software wie Webbrowser auf vielen Wegen einwirken. Die Passwörter im Passwort-Manager müssen im Infektionsfall als kompromittiert gelten. Die KeePass-Entwickler formulieren es so: "KeePass kann nicht auf magische Weise sicher in einer unsicheren Umgebung laufen."
Es ist also kein Update zu erwarten, das diese Schwachstelle schließen könnte. Der Vorfall kann aber als Erinnerung daran dienen, dass nach einem Trojaner-Befall auch die Passwörter von Betroffenen als kompromittiert gelten müssen. Diese sollten daher nach einer Malware-Infektion umgehend geändert werden.
Lesen Sie auch
Ändere-dein-Passwort-Tag: Ausnahmsweise ja, bitte!
Siehe auch:
- KeePass- Download schnell und sicher von heise.de
(dmk)