CVE-2023-32784 – KeePass

6. Mai 2024 Celia Catalán

Im heutigen Beitrag sprechen wir über KeePass, einen bekannten Passwort-Manager. KeePass Password Safe ist ein kostenloser Open-Source-Passwort-Manager, mit dem Sie Ihre Passwörter sicher verwalten können, sodass Sie für jeden Dienst ein Passwort haben, ohne es versuchen zu müssen. Die Funktionsweise von KeePass basiert auf einem Master-Passwort, das sehr robust sein und gespeichert werden muss. Mit diesem Schlüssel erhalten wir Zugriff auf unsere Passwortdatenbank, wobei zu berücksichtigen ist, dass wir sie zufällig generieren können und nicht benötigen sich an sie zu erinnern.

Obwohl wir zum Schutz unserer Passwörter immer die Verwendung dieses oder ähnlicher Tools empfehlen, trat Mitte 2023 die Schwachstelle CVE-2023-32784 auf, die zu einer Kompromittierung des Master-Passworts führen könnte, wenn folgende Bedingungen erfüllt sind:

Der Angreifer greift auf einen Computer zu, auf dem ein KeePass-Prozess läuft (die KeePass-Sitzung muss nicht entsperrt werden).

Der Benutzer des Opfers hat das Master-Passwort manuell eingegeben (nicht durch Kopieren und Einfügen).

Diese Schwachstelle ist auf die Verwendung des Textfelds „SecureTextBoxEx“ beim Master-Passwort-Zugriff zurückzuführen, da diese Funktionalität auch zum Wiederherstellen von Passwortinhalten in anderen Abschnitten von KeePass verwendet wird.

Um die Funktionsweise dieser Schwachstelle zu demonstrieren, werden zwei öffentliche Exploits überprüft, die die Entschlüsselung des Master-Passworts bis auf das erste Zeichen ermöglichen. Dass das erste Zeichen nicht gespeichert wird, liegt an der Funktionsweise der „SecureTextBoxEx“-Funktionalität auf .net-Ebene, da diese das vorherige Zeichen maskiert und das aktuelle anzeigt, beispielsweise beim Wort Passwort:

-a, --s, ---s, ----w, -----o, ------r, -------d.

Für diese Übung erstellen wir zunächst eine Testdatenbank und vergeben das Passwort: sup3r$3cr3tP4ssw0rd!

Nachdem wir unsere neue Datenbank erstellt und die Sitzung blockiert haben, um sie zu „schützen“, ist es notwendig, den Speicher des KeePass-Prozesses zu löschen. Es ist möglich, Absturzdumps mit verschiedenen Techniken durchzuführen, für diesen Proof of Concept reicht es jedoch aus, den Task-Manager ohne Administratorrechte nutzen zu können.

Sobald wir den Speicherauszug des KeePass-Prozesses haben, werden wir mit der Verwendung der folgenden Exploits fortfahren:

https://github.com/vdohney/keepass-password-dumper

https://github.com/z-jxy/keepass_dump

Wie wir sehen, können wir mit beiden Exploits das Master-Passwort problemlos entschlüsseln, da wir nur das erste Zeichen des Passworts erraten müssen.

Das bedeutet keineswegs, dass wir Passwort-Managern misstrauen sollten, da sie einfach wie jede andere Anwendung anfällig für Schwachstellen sind. Daher ist es notwendig, sie immer auf dem neuesten Stand zu halten, um über die neuesten Sicherheitspatches zu verfügen. Nachfolgend bieten wir eine Reihe von Empfehlungen an, die Sie befolgen sollten, falls Sie von dieser Sicherheitslücke betroffen sind:

Aktualisieren Sie KeePass 2.54 oder höher.

Ändern Sie Ihr KeePass-Master-Passwort, falls es kompromittiert wurde.

Löschen Sie Dateien, die möglicherweise KeePass-Passwörter im Speicher enthalten, z. B. die Crash-Dumps (normalerweise unter C:\Windows\memory.dmp für Windows), die Ruhezustandsdatei (hiberfil.sys) und die Auslagerungs-/Auslagerungsdatei (pagefile.sys).

Ignacio Sánchez , Cybersicherheitsanalyst bei Zerolynx .

Zurück zum Blog