Deutschland
 

Passwortdiebstahl

KeePass bestreitet Sicherheitslücke

Die beliebte Open Source Software KeePass soll Passwörter sicher verwalten. Doch eine jahrealte Sicherheitslücke könnte genau das Gegenteil bewirken.
Von 
CSO | 03. Februar 2023 12:50 Uhr
Erlangt ein Angreifer die Schreibrechte auf dem Computer seines Opfers, kann er über eine Sicherheitslücke in KeePass die dort gespeicherten Zugangsdaten stehlen.
Erlangt ein Angreifer die Schreibrechte auf dem Computer seines Opfers, kann er über eine Sicherheitslücke in KeePass die dort gespeicherten Zugangsdaten stehlen.
Foto: kpatyhka - shutterstock.com

Das Standard-Setup des Open-Source-Passwort-Managers KeePass ermöglicht Nutzern mit entsprechenden Rechten den Schreibzugriff auf die XML-Konfigurationsdatei der Software. Diese Einstellung könnte es Hackern erlauben, die Klartext-Passwörter zu erhalten, indem sie einen Export-Trigger einfügen.

Cyberkriminelle könnten sogar in der Lage sein, Malware in den Startordner von KeePass laden. Die Schadsoftware würde dann bei der nächsten Benutzeranmeldung automatisch ausgeführt werden.

Kein Patch von KeePass geplant

Obwohl KeePass dieses Problem kennt, wird es für die Sicherheitslücke, die unter CVE-2023-24055 gelistet wurde, keinen Patch geben. In einem Blog-Beitrag schreibt der Anbieter: „Ein Angreifer, der Schreibzugriff auf die KeePass-Konfigurationsdatei hat, kann sie böswillig ändern (z. B. könnte er böswillige Trigger einschleusen). Dies ist jedoch nicht wirklich eine Sicherheitslücke von KeePass.“

Die Computer Emergency Response Teams (CERT) in den Niederlande und Belgien veröffentlichten bereits offizielle Warnungen und Empfehlungen zu der KeePass-Schwachstelle. Dennoch argumentieren die Entwickler dagegen, das Problem als Sicherheitslücke einzustufen. Ein Angreifer mit Schreibzugriff könne die in der Datenbank enthaltenen Informationen auch auf andere Weise erhalten.

Die Nutzer sind den Entwicklern zufolge selbst für die Sicherheit ihres PCs verantwortlich. Sie empfehlen ihnen eine Antiviren-Software einzusetzen und sicherheitskritische Software auf dem neusten Stand zu halten. Zudem sollten User eine ordnungsgemäße Firewall nutzen. „Weder KeePass noch andere Passwort-Manager können auf magische Weise in einer mit Spyware infizierten, unsicheren Umgebung sicher ausgeführt werden“, schreiben die Developer im Blog.

Fehler seit 2019 bekannt

Tatsächlich ist die Schwachstelle Bleeping Computer zufolge bereits seit April 2019 bekannt. Wer dennoch nicht auf den Passwort-Manager verzichten möchte, kann die KeePass Enhanced Security Configuration ausführen. Dadurch wird eine erzwungene Konfigurationsdatei ausgeführt, die die KeePass-Einrichtung härtet.

Bevor Sie die Datei verwenden, müssen Sie jedoch sicherstellen, dass normale Systembenutzer keinen Schreibzugriff auf Dateien im App-Verzeichnis von KeePass haben. Dies ist allerdings ein relativ aufwendiges Verfahren.

Zudem ist die erzwungene Datei nur für das KeePass-Programm im selben Verzeichnis gültig. „Wenn der Benutzer eine weitere Kopie von KeePass ohne erzwungene Konfigurationsdatei ausführt, kennt diese Kopie die erzwungene Konfigurationsdatei, die an anderer Stelle gespeichert ist, nicht. Das heißt es werden keine Einstellungen erzwungen“, schreibt das Entwicklerteam von KeePass.

Lesetipp: Diese Schwachstellen sollten Sie sofort patchen

Jetzt kostenlos für den CSO-Newsletter anmelden

Melanie Staudacher war Editor bei CSO. Ihr Schwerpunkt war IT-Security.
Folgen: