Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Kritische Sicherheitslücke in KeePass offenbart Master-Passwörter
29. Mai 2023. TuxCare PR Team
Ein Forscher, bekannt als "vdohney", hat eine kritische Sicherheitslücke (CVE-2023-32784) im Open-Source-Passwortmanager KeePass entdeckt.
Diese Sicherheitslücke ermöglicht es Angreifern, das im Speicher der Software gespeicherte Master-Passwort abzurufen. Obwohl die Schwachstelle noch nicht behoben ist, wurde ein Proof-of-Concept (PoC) Exploit-Tool namens "KeePass 2.X Master Password Dumper" zur Verfügung gestellt.
Das Problem betrifft in erster Linie SecureTextBoxEx, das benutzerdefinierte Textfeld von KeePass, das zur Eingabe des Master-Passworts und weiterer Passwörter während der Bearbeitung verwendet wird. Der Angreifer benötigt Zugriff auf den Prozessdump, die Auslagerungsdatei (pagefile.sys), die Hibernationsdatei (hiberfil.sys) oder einen RAM-Dump des gesamten Systems, um den Fehler mit dem PoC-Tool auszunutzen.
Es ist keine Codeausführung erforderlich, und in der Readme-Datei wird behauptet, dass der Angriff unabhängig davon funktioniert, ob der Speicher aus einem Prozessdump, einem RAM-Dump, einer Ruhezustanddatei oder einer Auslagerungsdatei stammt. Vdohney erklärte im GitHub-Artikel auch, dass es keine Rolle spielt, ob der Rechner oder der Arbeitsbereich des Zielbenutzers heruntergefahren ist, und dass die Passwörter auch dann aus dem Speicher ausgelagert werden können, wenn KeePass nicht mehr in Betrieb ist.
KeePass Master Password Dumper ist ein Programm, das das Master-Passwort aus dem Speicher von KeePass wiederherstellen kann. Bis auf das Anfangszeichen kann es das Passwort im Klartext wiederherstellen. Es funktioniert unabhängig von der Speicherquelle, wie z. B. einem Prozessdump, einer Auslagerungsdatei, einer Hibernationsdatei oder einem RAM-Dump. Die Schwachstelle wird durch die Verwendung eines maßgeschneiderten Kennworteingabefelds namens "SecureTextBoxEx" verursacht, das die eingegebenen Zeichen im Speicher aufzeichnet.
Die ausnutzbare Schwachstelle ergibt sich aus dem Speicheraufbau von Restzeichenfolgen für jedes eingegebene Zeichen. Aufgrund der Funktionsweise von .NET ist es äußerst schwierig, diese Zeichenfolgen zu entfernen, sobald sie einmal gebildet wurden. Wenn zum Beispiel das Wort "Password" eingegeben wird, werden Restzeichenfolgen wie -a, --s, --s, ---w, ----o, -----r und -----d erzeugt. Mit Ausnahme des ersten Zeichens durchsucht das PoC-Programm den Speicherauszug nach diesen Mustern und bietet mögliche Kennwortzeichen für jede Stelle an.
Die Schwachstelle betrifft den Windows-Zweig von KeePass 2.X, mit möglichen Folgen für Linux und macOS. Glücklicherweise wurde das Problem in Testversionen von KeePass v2.54 behoben, und das offizielle Veröffentlichungsdatum ist für Juli 2023 angesetzt.
Die Gefahr eines weit verbreiteten Missbrauchs von CVE-2023-32784 bleibt minimal. KeepassXC, eine Abspaltung von KeePassX und eine plattformübergreifende Implementierung von KeePass, ist daher nicht von diesem Problem betroffen.
Zu den Quellen für diesen Artikel gehört ein Artikel in HelpnetSecurity.
