Benutzer des Passwort-Managers KeePass sollten in den nächsten Wochen besonders wachsam sein. Eine neu entdeckte Sicherheitslücke ermöglicht das Abrufen des Master-Passworts im Klartext, selbst wenn die Datenbank gesperrt oder das Programm geschlossen ist. Zwar ist bereits eine Lösung in Arbeit, diese wird aber frühestens Anfang Juni verfügbar sein.
Lese-Tipp: Keepass – so schützen Sie Ihre Passwörter
Wie Bleeping Computer berichtet (wo das Problem in allen technischen Details beschrieben wird), hat ein Sicherheitsforscher namens vdohney ein Proof-of-Concept-Tool veröffentlicht, das die Schwachstelle in Aktion zeigt.
Ein Angreifer kann demnach einen Speicher-Dump (Speicherauszug, eine Kopie des Speicherinhalts) durchführen, um den größten Teil des Master-Passworts im Klartext zu sammeln, selbst wenn eine KeePass-Datenbank geschlossen, das Programm gesperrt oder nicht mehr geöffnet ist. Bei der Entnahme aus dem Speicher fehlen die ersten ein oder zwei Zeichen des Kennworts, die dann aber erraten werden können, um die gesamte Zeichenfolge zu ermitteln.
Für diejenigen, die mit Sicherheitslücken durch Speicher-Dump nicht vertraut sind, ist dieses Szenario vergleichbar mit dem Master-Kennwort von KeePass als Kleingeld in einer Hosentasche. Schüttelt man die Hose aus, erhält man sozusagen den ganzen Dollar, den man braucht, um sich Zugang zur Datenbank zu verschaffen – aber diese Münzen sollten gar nicht erst in der Tasche herumliegen.
Die besten Passwort-Manager im Test (2023)
Windows sicher betroffen, Linux und macOS vermutlich
Das Proof-of-Concept-Tool demonstriert dieses Problem unter Windows, aber es wird angenommen, dass auch Linux und macOS anfällig sind, da das Problem in KeePass und nicht im Betriebssystem liegt. Standard-Benutzerkonten in Windows sind ebenfalls nicht sicher – für das Dumping des Speichers sind keine Administratorrechte erforderlich.
Um die Sicherheitslücke auszunutzen, müsste ein böswilliger Akteur entweder aus der Ferne (durch Malware) oder physisch auf den Computer zugreifen.
Alle vorhandenen Versionen von KeePass 2.x (z. B. 2.53.1) sind betroffen. KeePass 1.x (eine ältere Version des Programms, die noch gepflegt wird), KeePassXC und Strongbox, andere Passwort-Manager, die mit KeePass-Datenbanken kompatibel sind, sind laut vdohney nicht betroffen.
Ein Fix für diese Schwachstelle wird in der KeePass-Version 2.54 enthalten sein, die voraussichtlich Anfang Juni 2023 auf den Markt kommen wird. Dominick Reichl, der Entwickler von KeePass, gab diese Schätzung in einem Sourceforge-Forum zusammen mit dem Vorbehalt ab, dass der Zeitrahmen nicht garantiert ist. Eine instabile Testversion von KeePass mit den Sicherheitsverbesserungen ist bereits verfügbar. Bleeping Computer berichtet, dass der Entwickler des Proof-of-Concept-Exploit-Tools das Problem mit den vorgenommenen Korrekturen nicht reproduzieren kann.
Aber auch nach dem Upgrade auf die korrigierte Version von KeePass kann das Master-Passwort in den Speicherdateien des Programms noch sichtbar sein. Um sich vollständig davor zu schützen, müssen Sie Ihren PC vollständig löschen, indem Sie den Modus verwenden, der vorhandene Daten überschreibt, und dann das Betriebssystem neu installieren.
Das ist allerdings ein ziemlich drastischer Schritt. Noch vernünftiger ist es, nicht vertrauenswürdigen Personen keinen Zugang zu Ihrem Computer zu gewähren und keine unbekannten Links anzuklicken oder unbekannte Software zu installieren. Ein gutes Antivirenprogramm (wie eines der von uns empfohlenen) ist ebenfalls hilfreich.
Test: Die beste Antiviren-Software für Windows 11
Die beste Antiviren-Software für Windows 11 fürs Büro
Die beste Antiviren-Software für Windows 10 fürs Büro
Antivirus-Software für Windows 10 im Test
Test: Die besten Antivirus-Programme für Android
Wenn die korrigierte Version von KeePass auf den Markt kommt, können Sie nach dem Upgrade auch Ihr Master-Passwort ändern, wodurch das vorherige Passwort irrelevant wird, falls es sich noch in Ihren Speicherdateien befindet.
Sie können Ihr Risiko auch verringern, indem Sie Ihren PC neu starten, den Ruhezustand und die Auslagerungsdateien löschen und stattdessen vorübergehend über eine sichere Alternative wie KeePassXC auf Ihre KeePass-Datenbank zugreifen. Die Geräteverschlüsselung kann auch gegen einen physischen Angriff auf Ihren PC helfen (oder wenn Sie glauben, dass jemand diese Daten auslesen könnte, nachdem Sie den PC gespendet oder weggeworfen haben). Es gibt Möglichkeiten, sich zu schützen – und glücklicherweise scheint es sich hierbei nur um einen Proof-of-Concept zu handeln und nicht um eine aktive Sicherheitslücke.
Diese Meldung ist eine angepasste Übersetzung des Originalartikels unserer Schwesterpublikation PC-World.