Der KeePass-Exploit hilft bei der Wiederherstellung des Klartext-Master-Passworts. Die Lösung folgt bald
Der beliebte Passwort-Manager KeePass ist anfällig dafür, das Master-Passwort aus dem Anwendungsspeicher zu extrahieren, sodass Angreifer, die in ein Gerät eindringen, das Passwort auch dann abrufen können, wenn die Datenbank gesperrt ist.
Dieses Problem wurde von einem Sicherheitsforscher namens „vdohney“ entdeckt Stellen Sie ein Proof-of-Concept-Tool bereit Ermöglicht es Angreifern, das KeePass-Master-Passwort als Proof of Concept (PoC) aus dem Speicher zu extrahieren.
Mit Passwort-Managern können Benutzer für jedes Online-Konto eindeutige Passwörter erstellen und die Anmeldeinformationen in einer einfach zu durchsuchenden Datenbank oder einem Passwort-Tresor speichern, sodass Sie sich nicht jedes einzelne Passwort merken müssen. Um diesen Passwort-Tresor jedoch ordnungsgemäß zu sichern, müssen sich Benutzer das Master-Passwort merken, mit dem sie ihn entsperrt haben, und auf die gespeicherten Anmeldeinformationen zugreifen.
Dieses Master-Passwort verschlüsselt die Passwortdatenbank von KeePass und verhindert so, dass sie ohne vorherige Eingabe des Passworts geöffnet oder gelesen werden kann. Sobald jedoch das Master-Passwort geknackt ist, kann der Bedrohungsakteur auf alle in der Datenbank gespeicherten Anmeldeinformationen zugreifen.
Damit ein Passwort-Manager ordnungsgemäß gesichert ist, ist es daher wichtig, dass Benutzer das Master-Passwort schützen und es nicht an Dritte weitergeben.
Mit diesem Namen wurde eine neue KeePass-Schwachstelle verfolgt CVE-2023-3278 Es ermöglicht die Wiederherstellung des KeePass-Master-Passworts, unabhängig von den ersten ein oder zwei Zeichen, im Klartext, unabhängig davon, ob der KeePass-Arbeitsbereich oder vielleicht sogar das Programm gesperrt ist.
„KeePass Master Password Dumper ist ein einfaches Proof-of-Concept-Tool, mit dem das Master-Passwort aus dem KeePass-Speicher gelöscht wird. Abgesehen vom ersten Buchstaben des Passworts kann es das Passwort häufig im Klartext wiederherstellen“, warnt der Sicherheitsforscher Exploit-GitHub-Seite.
Es muss kein Code auf dem Zielsystem ausgeführt werden, sondern lediglich ein Speicherauszug. Dabei spielt es keine Rolle, woher der Speicher kommt – er kann sein Dump-Prozess, Auslagerungsdatei (pagefile.sys), Ruhezustandsdatei (hiberfil.sys) oder RAM-Dump für das gesamte System. Es spielt keine Rolle, ob der Arbeitsbereich gesperrt ist oder nicht. „
Der Fehler besteht, weil das Programm ein benutzerdefiniertes Passwort-Eingabefeld namens „SecureTextBoxEx“ verwendet, das Spuren jedes vom Benutzer eingegebenen Zeichens im Speicher hinterlässt.
KeePass 2 verwendet, um deren Inhalte wiederherzustellen)“, erklärt vdohney.
Die Sicherheitslücke betrifft die neueste Version von KeePass, 2.53.1, und da es sich bei der Software um Open Source handelt, ist wahrscheinlich jeder Fork des Projekts betroffen.
Laut dem Entwickler des Passwort-Dump-Tools scheinen KeePass 1.X, KeePassXC und Strongbox nicht von CVE-2023-32784 betroffen zu sein.
Beim Testen von PoC unter Windows sollte der Exploit mit einigen Modifikationen auch unter Linux und macOS funktionieren, da das Problem nicht spezifisch für das Betriebssystem ist, sondern dafür, wie KeePass Benutzereingaben verarbeitet.
Quelle: vdohney
Es ist leicht auszunutzen
Da Speicherabbilder wiederhergestellt werden müssen, um das KeePass-Master-Passwort wiederherzustellen, erfordert der CVE-2023-32784-Exploit physischen Zugriff oder eine Malware-Infektion auf dem Zielgerät.
Informationen stehlende Schadsoftware kann jedoch schnell überprüfen, ob sich KeePass auf einem Computer befindet oder ausgeführt wird. Wenn dies der Fall ist, kann sie den Speicher des Programms löschen und ihn zusammen mit der KeePass-Datenbank an den Angreifer zurücksenden, um das Klartextkennwort aus der Speicherauszugsdatei abzurufen.
BleepingComputer hat das „keepass-password-dumper“-Tool von vdohney getestet, indem KeePass auf einem Testcomputer installiert und eine neue Datenbank mit dem Master-Passwort „password123“ erstellt wurde, wie unten gezeigt.
Quelle: BleepingComputer
Dann haben wir unseren KeePass-Arbeitsbereich gesperrt und den Zugriff darauf verhindert, es sei denn, Sie geben Ihr Master-Passwort erneut ein.
In unseren Tests können Sie den Process Explorer verwenden, um den Speicher eines KeePass-Projekts zu sichern, aber um ordnungsgemäß zu funktionieren, ist ein vollständiger Speicherabzug und kein Minidump erforderlich. Für den Speicherauszug von Prozessen sind keine hohen Berechtigungen erforderlich.
Nachdem wir das vdohney-Tool mit Visual Studio kompiliert hatten, führten wir es gegen unseren Speicherauszug aus und es stellte den Großteil des Klartext-Passworts schnell wieder her, wobei nur die ersten beiden Zeichen fehlten.
Quelle: BleepingComputer
Obwohl dies nicht das vollständige Passwort ist, wird es ziemlich einfach sein, die fehlenden Zeichen zu finden.
Der Forscher warnt außerdem, dass in der Vergangenheit verwendete Master-Passwörter im Speicher bleiben können, sodass sie auch dann abgerufen werden können, wenn KeePass nicht mehr auf dem gehackten Computer läuft.
Die Lösung kommt bald
KeePass-Entwickler Dominik Reichl hat den Fehlerbericht erhalten und verspricht, irgendwann im Juli 2023 einen Fix für CVE-2023-32784 in Version 2.54 bereitzustellen.
Reichl teilte BleepingComputer jedoch mit, dass die Version 2.54 von KeePass voraussichtlich in etwa zwei Wochen für Benutzer freigegeben wird, sodass sie voraussichtlich Anfang Juni verfügbar sein wird.
Basierend auf a Diskussion Als Reichl seine Gedanken zur Schwachstelle und zu potenziellen Abhilfestrategien entwickelte, wurden zwei Sicherheitsverbesserungen für die kommende KeePass-Version erwähnt:
- Führen Sie API-Aufrufe direkt durch, um den Textkörper des Textfelds abzurufen/festzulegen, und vermeiden Sie so die Erstellung von im Arbeitsspeicher verwalteten Threads, die Geheimnisse preisgeben können.
- Erstellen Sie im Prozessspeicher Dummy-Fragmente mit zufälligen Zeichen, die ungefähr die gleiche Länge wie das Master-Passwort des Benutzers haben und so den echten Schlüssel verschleiern.
KeePass 2.54 für Windows wird beides haben, während die macOS- und Linux-Versionen nur die zweite Verbesserung haben werden.
Der Entwickler hat eine Beta-Version mit neuen Sicherheitsverbesserungen veröffentlicht, die das Problem abmildern, sodass diejenigen, die das instabile Verhalten akzeptieren können, dies tun können Von hier bezogen.
Der PoC-Ersteller hat bestätigt, dass er den Angriff mit den vorhandenen Sicherheitsverbesserungen nicht mehr reproduzieren kann, sodass der Fix offenbar funktioniert.
Auch nach der Veröffentlichung der neuen Version kann das Master-Passwort noch in den Speicherdateien gespeichert sein. Forscher warnen: Um 100 % sicher zu sein, weil es nicht im System liegt, müssen Sie die Auslagerungs- und Ruhezustandsdateien Ihres Systems löschen, Ihre Festplatte mit dem Modus „Daten überschreiben“ formatieren, um eine Datenwiederherstellung zu verhindern, und eine neue durchführen Betriebssysteminstallation.
Für die meisten Menschen sind jedoch ein Neustart des Computers, das Löschen der Auslagerungs- und Ruhezustandsdateien und die Nichtverwendung von KeePass bis zur Veröffentlichung der neuen Version vorerst vernünftige Sicherheitsmaßnahmen.
Um den besten Schutz zu gewährleisten, sollten Sie jedoch sehr wachsam sein und keine Software von nicht vertrauenswürdigen Websites herunterladen und sich vor Phishing-Angriffen in Acht nehmen, die Ihre Geräte infizieren und bedrohten Parteien Fernzugriff auf Ihr Gerät und die KeePass-Datenbank ermöglichen könnten.
„Lebenslanger Social-Media-Liebhaber. Fällt oft hin. Schöpfer. Leidenschaftlicher Feinschmecker. Entdecker. Typischer Unruhestifter.“