Durch einen Exploit kann Ihr KeePass-Master-Passwort im Klartext preisgegeben werden

KeePass-Passwortmanager Benutzer sollten in den nächsten Wochen möglicherweise besonders wachsam sein. A neu entdeckte Schwachstelle Ermöglicht den Abruf des Master-Passworts im Klartext, auch wenn die Datenbank gesperrt oder das Programm geschlossen ist. Und obwohl an einer Lösung gearbeitet wird, wird sie frühestens Anfang Juni eintreffen.

Wie berichtet, Piepender Computer (das das Problem in allen technischen Details abdeckt) veröffentlichte ein Sicherheitsforscher namens Vdohney ein Proof-of-Concept-Tool, das den Exploit in Aktion demonstrierte. Ein Angreifer kann einen Speicherauszug durchführen, um den Großteil des Master-Passworts im Klartext zu erfassen, selbst wenn eine KeePass-Datenbank geschlossen, das Programm gesperrt oder das Programm nicht mehr geöffnet ist. Beim Herausziehen aus dem Speicher fehlen die ersten ein oder zwei Zeichen des Passworts, können dann aber erraten werden, um die gesamte Zeichenfolge herauszufinden.

Für diejenigen, die mit Memory Dumping-Schwachstellen nicht vertraut sind: Sie können sich dieses Szenario ein bisschen wie das Master-Passwort von KeePass als Kleingeld in der Hosentasche vorstellen. Schütteln Sie die Hose aus und Sie erhalten (sozusagen) fast den gesamten Dollar, den Sie für den Eintritt in die Datenbank benötigen – aber diese Münzen sollten zunächst nicht in dieser Tasche herumschwirren.

Das Proof-of-Concept-Tool demonstriert dieses Problem in Windows, aber auch Linux und macOS gelten als anfällig, da das Problem in KeePass und nicht im Betriebssystem besteht. Auch Standardbenutzerkonten in Windows sind nicht sicher – für das Löschen des Speichers sind keine Administratorrechte erforderlich. Um den Exploit auszuführen, benötigt ein böswilliger Akteur entweder Fernzugriff (über Malware) oder physischen Zugriff auf den Computer. 

Betroffen sind alle bestehenden Versionen von KeePass 2.x (z. B. 2.53.1). Laut vdohney sind KeePass 1.x (eine ältere Edition des Programms, die noch gepflegt wird), KeePassXC und Strongbox, andere Passwort-Manager, die mit KeePass-Datenbankdateien kompatibel sind, nicht betroffen.

Eine Behebung dieser Schwachstelle wird in der KeePass-Version 2.54 enthalten sein, die voraussichtlich Anfang Juni veröffentlicht wird. Dominick Reichl, der Entwickler von KeePass, gab diese Schätzung in einem ab Sourceforge-Forum mit dem Vorbehalt, dass der Zeitrahmen nicht garantiert ist. Ein instabile Testversion von KeePass mit den Sicherheitsminderungen ist jetzt verfügbar. Bleeping Computer berichtet, dass der Ersteller des Proof-of-Concept-Exploit-Tools das Problem mit den vorhandenen Korrekturen nicht reproduzieren kann.

Allerdings ist das Master-Passwort möglicherweise auch nach dem Upgrade auf die feste Version von KeePass weiterhin in den Speicherdateien des Programms sichtbar. Um sich vollständig dagegen zu schützen, müssen Sie Ihren PC im Modus zum Überschreiben vorhandener Daten vollständig löschen und anschließend das Betriebssystem neu installieren.

Das ist allerdings ein ziemlich drastischer Schritt. Vernünftiger wäre es, nicht vertrauenswürdigen Personen den Zugriff auf Ihren Computer zu gestatten, keine unbekannten Links anzuklicken und keine unbekannte Software zu installieren. Ein gutes Antivirenprogramm (wie eines davon gehört zu unseren Top-Empfehlungen) hilft auch. Wenn die feste Version von KeePass startet, können Sie nach dem Upgrade auch Ihr Master-Passwort ändern – dadurch sollte das vorherige Passwort irrelevant werden, wenn es noch in Ihren Speicherdateien lauert.

Sie können Ihre Gefährdung auch reduzieren, indem Sie Ihren PC neu starten, Ihren Ruhezustand und Ihre Auslagerungsdateien löschen und stattdessen vorübergehend über eine sichere Alternative wie KeePassXC auf Ihre KeePass-Datenbank zugreifen. Geräteverschlüsselung kann auch gegen einen physischen Angriff auf Ihren PC helfen (oder wenn Sie glauben, dass jemand diese Informationen ausspionieren könnte, nachdem Sie den PC gespendet oder weggeworfen haben). Es gibt Möglichkeiten, geschützt zu bleiben – und glücklicherweise scheint dies nur ein Proof-of-Concept-Anliegen und kein aktiver Exploit zu sein.