Schwachstelle in KeePass wurde geschlossen

Eine umstrittene Sicherheitslücke wurde nun durch den Entwickler mit Hilfe eines Updates geschlossen. Die Schwachstelle ermöglicht Cyberkriminellen einen einfachen Passwort-Export im System.

Eine Sicherheitslücke im Open-Source-Passwort-Manager KeePass sorgte letzte Woche für Aufmerksamkeit. Cyberkriminelle mit Nutzerrechten im System konnten die Konfiguration von KeePass so abändern, dass beim Starten ohne zusätzliche Rückmeldung ein Klartext-Export der Datenbank generiert wurde. Die Schwachstelle ist unter der Bezeichnung CVE-2023-24055 zu finden. Mit einem Update wurde die Sicherheitslücke nun beseitigt.

Mehr Sicherheit durch KeePass Update

In der aktuellen Version 2.53.1 wurde die Richtlinie „Export – No Key Repeat“ gelöscht. Dadurch wird bei einem Passwort-Datenbank-Export immer eine Rückfrage an Nutzer gesendet. Nutzer müssen daraufhin ihren Master-Key eingeben, um den Vorgang erfolgreich abzuschließen. Ursprünglich war der Entwickler der Auffassung, dass die Kennwortdatenbank nicht gegen einen Nutzer geschützt werden muss, der über derartige Nutzerrechte des lokalen PCs verfügt. Nach dieser Ansicht handelt es sich bei KeePass im Wesentlichen um keine Sicherheitslücke, da Nutzer die Zugriffrechte auf die Konfigurationsdatei haben für gewöhnlich Zugang zum gesamten Nutzerprofil haben und dadurch schwerwiegendere Attacken ausführen könnten. Cyberkriminelle könnten Schadsoftware im Autostart implementieren, Desktop-Verknüpfungen modifizieren, Registry-Werte abändern oder Konfigurationsdateien anderer Software umgestalten, wodurch ein Webbrowser zum automatischen Öffnen einer bedrohlichen Website veranlasst werden könnte. Bei Nutzern mobiler Versionen könnten Cyberkriminelle, die im Besitz der Nutzerrechte sind, auf das gesamte Programmverzeichnis zugreifen und beispielsweise die KeePass-Datei durch Malware austauschen.

Cyberkriminelle mit diesen Rechten könnten auch KeePass direkt angreifen, selbst ohne Zugang zu der Konfigurationsdatei. Demnach kann ein aktiver Trojaner auf dem System auf den Passwort-Manager oder andere Software zugreifen und beträchtlichen Schaden anrichten. Im Infektionsfall sind die Passwörter im Passwort-Manager in jedem Fall als kompromittiert einzustufen.

Umsetzung der Forderungen der Nutzer

Die Richtlinie „Export – No Key Repeat“ wurde aus der neuesten Softwareversion entfernt, damit erfüllt KeePass die Forderungen vieler Nutzer, die beispielsweise im Sourceforge-Diskussionsforum gestellt wurden. Die Bedenken, dass Cyberkriminelle mit entsprechend umfangreichen Rechten im System die Richtlinie in der Konfigurationsdatei wieder aktivieren könnten, sind durch die vollumfängliche Entfernung hinfällig.

Das Update ist allerdings keine allgemeingültige Lösung. Nach einem Trojaner-Befall müssen Passwörter trotz des Einsatzes von Passwort-Managern als kompromittiert gelten und geändert werden.