Master-Passwort lässt sich auslesen: Beliebter Passwort-Safe mit Sicherheitslücke

Alles rund um Hardware
Antworten
Benutzeravatar
ww_michael
Verified
Site Admin
Beiträge: 2645
Registered for: 3 years
3
Wohnort: Winnen
Hat sich bedankt: 89 Mal
Danksagung erhalten: 1856 Mal
Geschlecht:
Alter: 59
Kontaktdaten:
Germany

Master-Passwort lässt sich auslesen: Beliebter Passwort-Safe mit Sicherheitslücke

Beitrag: # 2933Beitrag ww_michael »

Bild

Sicherheitslücken gibt es in jeder Software, doch bei Passwortmanagern ist das ein besonders heikles Thema. Aktuell lässt sich für das beliebte Programm KeePass das Master-Passwort aus dem Gerätespeicher auslesen. Ein Sicherheitsupdate gibt es noch nicht.


Passwortmanager speichern alle Ihre Passwörter in einer verschlüsselten Datenbank ab. Zugriff gibt es darauf aber nur, wenn Sie das korrekte Master-Passwort eingeben. Das sollten Sie wie Ihren Augapfel behüten und auch die Passwortmanager sollten das Master-Passwort durch spezielle Sicherheitsvorkehrungen vor Angreifern schützen.
Beim beliebten Passwortmanager KeePass klappt der Schutz des Master-Passworts durch das Programm derzeit nicht optimal. Eine Sicherheitslücke lässt es aktuell zu, dass Angreifer ein einmal eingetipptes Master-Passwort aus dem Gerätespeicher rekonstruieren können. Ein Sicherheitsexperte hat dafür einen Proof-of-Concept bereitgestellt (PoC), der Master-Passwörter von KeePass im Klartext anzeigt.

Bild

Mit einem Tool lassen sich eingetippte Master-Passwörter von KeePass aus dem Speicher rekonstruieren.

Bild: Screenshot/CHIP
KeePass arbeitet anders als Passwortmanager-Dienste wie LastPass, 1Password oder Bitwarden. Es gibt keinen eingebauten Sync zum Passwort-Abgleich über mehrere Geräte. Wenn Sie KeePass unter Windows nutzen, liegt die verschlüsselte Passwortdatenbank nur auf Ihrem Windows-Rechner.
Angreifer müssen also an Ihren Rechner rankommen. Entweder sitzt man für die Attacke direkt am Gerät, klaut es komplett, entwendet zumindest SSD/Festplatte oder man hat es geschafft, eine Malware auf dem System zu platzieren, die dann die Arbeit übernimmt.
Eine Code-Ausführung auf dem Zielsystem ist nicht erforderlich und damit auch keine erhöhten Rechte des Angreifers. Die brauchen jedoch Daten aus dem Gerätespeicher, etwa von einem Prozessdump oder aus der Auslagerungsdatei von Windows. Datendiebe müssen also prüfen, ob KeePass vorhanden ist, die Passwortdatenbank klauen und ein Speicherabbild von KeePass abzweigen, aufwändig, aber möglich.
Ursache des Problems: KeePass nutzt ein benutzerdefiniertes Kennworteingabefeld namens "SecureTextBoxEx", das Spuren von jedem Zeichen, das der Benutzer eingibt, im Speicher hinterlässt. Diese Spuren lassen sich nachträglich sichtbar machen und zu Klartext-Passwörtern zusammenfügen.
Kurios: Das Master-Passwort lässt sich nicht komplett im Klartext darstellen, der Anfangsbuchstabe bleibt dem PoC verborgen. Doch der Rest wird angezeigt und es dürfte in vielen Fällen einfach sein, den ersten Buchstaben zu erraten, wenn man den Rest des Master-Passworts kennt.
Bild
Antworten