Master-Passwort auf KeePass potenziell von Angreifern auslesbar
Ein Cyber-Spezialist konnte erfolgreich das unverschlüsselte Hauptpasswort auf KeePass auslesen. Auf Sourceforge teilte er mit, was hierfür nötig sei.
Das Wichtigste in Kürze
- Der Passwortmanager KeePass lässt sich über eine Schwachstelle kompromittieren.
- Hierbei ist es möglich, das Master-Passwort eines Nutzers im Klartext abzugreifen.
- Das Problem wird zur im Juli erscheinenden Version 2.54 gefixt.
Einem Hacker ist es gelungen, ein Master-Passwort für die aktuelle Version des Open Source-Passwortmanagers KeePass im Klartext zu erhalten. Auf der Plattform Sourceforge wies er KeePass-Entwickler Dominik Reichl in einem Post auf die Schwachstelle hin. Für die Attacke nutzte er ein Speicherabbild, aus dem er das unverschlüsselte Master-Passwort auslesen konnte. Weiterhin reiche der Zugriff auf eine Auslagerungs- oder Hibernation-Datei bereits aus, egal ob der Arbeitsplatz gesperrt sei oder nicht.
Wie «heise.de» berichtet, wurde die Schwachstelle (CVE-2023-32784) bereits offiziell bestätigt und einen Fix für die im Juli kommende KeePass-Version angekündigt. Hauptverursacher soll das benutzerdefinierte Kennworteingabefeld «SecureTextBoxEx» sein, in der sich zu jedem eingetippten Zeichen rekonstruierbare Spuren finden lassen. Allerdings könne diese Form des Angriffs nur durchgeführt werden, wenn ohnehin schon eine tiefgreifende Kontrolle über das System bestünde.
