Am Puls von Microsoft

KeePass erlaubt stillen Klartext-Export der Passwörter – Update

KeePass erlaubt stillen Klartext-Export der Passwörter - Update

Sicherheitsforscher haben einen Angriff auf den populären Open Source Passwortmanager KeePass öffentlich gemacht, über den die gesamte Datenbank im Klartext exportiert werden kann, ohne dass der Nutzer etwas davon bemerkt. Die Entwickler weigern sich, dies als Sicherheitslücke anzuerkennen, und die Argumentation ist sogar nachvollziehbar.

Die strittige Schwachstelle ist als CVE – CVE-2023-24055 dokumentiert. Ein Angriff erfolgt, in dem die KeePass XML-Konfigurationsdatei so manipuliert wird, dass beim nächsten Öffnen der Datenbank und Eingabe des Masterpassworts ein stiller Export aller in der Datenbank gespeicherter Daten im Klartext erfolgt. Angreifer können diese Datei anschließend abgreifen und haben somit Zugriff auf alle sensiblen Informationen.

Die Entwickler wollen das allerdings nicht als Sicherheitslücke verstanden wissen und verweisen darauf, dass ein Angreifer einerseits Schreibzugriff auf die Konfigurationsdatei benötigt und anschließend auch die exportierte Datei stehlen muss. KeePass könne in einer unsicheren Umgebung nicht auf wundersame Weise sicher ausgeführt werden, heißt es. Ein Argument, dem man sich nicht verschließen kann.

Abhilfe wäre dennoch möglich und vielleicht auch angeraten. So gibt es beispielsweise den Vorschlag, einen “stillen Export” nicht mehr zuzulassen, sondern grundsätzlich einen Bestätigungsdialog einzublenden. Andere Nutzer empfehlen, diese Funktion einfach komplett zu entfernen oder in der Konfig-Datei einen Exportschutz zu hinterlegen, der nur durch Eingabe des Masterpassworts wieder aufgehoben werden kann.

Es gibt allerdings auch die Möglichkeit, eine abgesicherte Konfiguration für KeePass einzurichten, das wird beispielsweise von Administratoren verwendet, um bestimmte Einstellungen in KeePass vorzugeben bzw. zu sperren. Ist diese aktiv, so geht auch der oben beschriebene Angriff ins Leere, weil lokale Konfig-Dateien übergangen werden.

Update vom 08.02.23: Die Version 2.53.1 von KeePass löst das Problem endgültig, indem das Konfigurations-Flag “Export – No Key Repeat” entfernt wurde. Somit ist nun kein Export der Datenbank ohne erneute Eingabe des Masterkennworts mehr möglich

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige