{"id":277350,"date":"2023-01-30T12:57:15","date_gmt":"2023-01-30T11:57:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277350"},"modified":"2024-06-17T14:10:17","modified_gmt":"2024-06-17T12:10:17","slug":"cert-warnung-standard-keepass-setup-ermglicht-passwort-klau-cve-2023-24055","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/30\/cert-warnung-standard-keepass-setup-ermglicht-passwort-klau-cve-2023-24055\/","title":{"rendered":"CERT-Warnung: Standard KeePass-Setup ermöglicht Passwort-Klau (CVE-2023-24055)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kurzer Hinweis bzw. Warnung an Nutzer des KeePass Password Safe zur Verwaltung von Kennw\u00f6rtern und Zugangsdaten. Das Cyber Emergency Response Team aus Belgien (CERT.be) hat am 27. Januar 2023 eine Warnung zu KeePass ver\u00f6ffentlicht. Im Standard-Setup sind Schreibzugriffe auf die XML-Konfigurationsdatei m\u00f6glich. Das f\u00fchrt zur Schwachstelle CVE-2023-24055, die\u00a0 einem Angreifer den Weg \u00f6ffnen k\u00f6nnte, die Klartext-Passw\u00f6rter durch Hinzuf\u00fcgen eines Export-Triggers zu erhalten (Unauthenticated RCE, Information disclosure). Es gibt aber weniger bekannte M\u00f6glichkeiten, das Setup etwas zu h\u00e4rten – ob es sinnvoll ist, steht auf einem anderen Blatt. Hier eine \u00dcbersicht \u00fcber dieses Thema.<\/p>\n

<\/p>\n

Die CERT.be-Warnung vor Passwortklau<\/h2>\n

\"\"Ich bin durch Blog-Leser Dreisenberger auf Twitter<\/a> \u00fcber die Warnung Warning – An attacker who has write access to the KEEPASS configuration file can modify it and inject malicious triggers von CERT.be vom 27. Januar 2023 informiert worden – danke daf\u00fcr.<\/p>\n

\"CERT.be:<\/p>\n

Der Keepass Passwort-Manager<\/h3>\n

KeePass<\/a> Password Safe ist ein von Dominik Reichl entwickeltes, freies, unter den Bedingungen der GNU General Public License erh\u00e4ltliches Programm zur Kennwortverwaltung. KeePass verschl\u00fcsselt die gesamte Datenbank, welche auch Benutzernamen und \u00c4hnliches enthalten kann. Der Passwort-Manager d\u00fcrfte bei einigen Nutzern in Verwendung sein.<\/p>\n

Hintergrund: Das Keepass Event-System<\/h3>\n

KeePass verf\u00fcgt \u00fcber ein System zur Ausl\u00f6sung von Ereignissen, Bedingungen und Aktionen. Mit diesem System k\u00f6nnen Arbeitsabl\u00e4ufe automatisiert werden. Das Problem: Ein Angreifer k\u00f6nnte diese Funktion missbrauchen, indem er b\u00f6sartige Ausl\u00f6ser (Trigger) in die KeePass XML-Konfigurationsdatei einschleust. Dazu ben\u00f6tigt ein Angreifer aber Schreibberechtigungen auf dem System des Keepass-Nutzers.<\/p>\n

Das Profilproblem bei der Installation<\/h3>\n

Keepass hat in diesem KB-Beitrag<\/a> die Informationen offen gelegt und schreibt: Ein Angreifer, der Schreibzugriff auf die KeePass-Konfigurationsdatei hat, kann diese b\u00f6swillig ver\u00e4ndern (z. B. k\u00f6nnte er b\u00f6swillige Ausl\u00f6ser einf\u00fcgen). Dies ist jedoch keine wirkliche Sicherheitsl\u00fccke von KeePass.<\/em> Zum Problem wird dies aber unter Windows, wenn Nutzer die Standard-Vorgaben beim Setup des Programms verwenden.<\/p>\n

Dann wird KeePass vom Setup-Programm so installiert, dass die Konfigurationsdatei im Anwendungsdatenverzeichnis des Benutzers in<\/p>\n

\"%APPDATA%\\KeePass\"<\/p>\n

gespeichert wird. Dieser Ordner befindet sich innerhalb des Benutzerprofilverzeichnisses (\"%USERPROFILE%\"). Das bedeutet aber, dass jede im Benutzerkonto ausgef\u00fchrte Anwendung Zugriff auf die KeePass-Konfigurationsdatei hat und diese auch schreibend ver\u00e4ndert kann. Ein Angreifer br\u00e4uchte also nur eine Anwendung im Kontext des Benutzerkontos auszuf\u00fchren, und erh\u00e4lt Schreibzugriff auf die Konfigurationsdatei. Dadurch sind verschieden Angriffsszenarien denkbar.<\/p>\n

Verschiedene Angriffsszenarien<\/h3>\n

CERT.be weist in seiner Warnung nun darauf hin, dass ein Angreifer, der Schreibzugriff auf die KeePass-Konfigurationsdatei hat, diese ver\u00e4ndern und b\u00f6sartige Trigger einschleusen kann, z. B. um die Klartext-Passw\u00f6rter durch Hinzuf\u00fcgen eines Export-Triggers abzufischen. Geht man in den Keepass KB-Beitrag<\/a>, werden noch ganz andere Probleme genannt. Ein Angreifer k\u00f6nnte beispielsweise Malware in den Startordner unter<\/p>\n

\"%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programme\\Startup\"<\/p>\n

einf\u00fcgen. Diese Malware w\u00fcrde nach der n\u00e4chsten Benutzeranmeldung automatisch ausgef\u00fchrt und k\u00f6nnte anschlie\u00dfend Desktop-Verkn\u00fcpfungen (in \"%USERPROFILE%\\Desktop\") \u00e4ndern, die Registrierung des Benutzers manipulieren (in HKLU bzw. in der Datei \"%USERPROFILE%\\NTUSER. DAT\"), oder Konfigurationsdateien anderer Anwendungen \u00e4ndern (z. B. um einen Browser dazu zu bringen, automatisch eine b\u00f6sartige Website zu \u00f6ffnen) usw.<\/p>\n

Verwendet der Benutzer die portable Version von KeePass, wird die Konfigurationsdatei im Anwendungsverzeichnis gespeichert (das die Datei \"KeePass.exe\" enth\u00e4lt). In diesem Fall ist der Schreibzugriff auf die KeePass-Konfigurationsdatei in der Regel gleichbedeutend mit dem Schreibzugriff auf das Anwendungsverzeichnis. Mit dieser F\u00e4higkeit kann ein Angreifer zum Beispiel die Datei \"KeePass.exe\" einfach durch eine Malware ersetzen.<\/p>\n

Keepass schreibt zwar, dass Schreibzugriff auf die KeePass-Konfigurationsdatei in der Regel bedeutet, dass ein Angreifer weitaus m\u00e4chtigere Angriffe als die \u00c4nderung der Konfigurationsdatei durchf\u00fchren kann (und diese Angriffe k\u00f6nnen sich letztlich auch auf KeePass auswirken, unabh\u00e4ngig von einem Schutz der Konfigurationsdatei).<\/p>\n

Einsatz nur in sicherer Umgebung<\/h2>\n

An dieser Stelle kommen wir zum Kernproblem: Viele Nutzer verwenden Passwort-Manager um sich einerseits die vielen Zugangsdaten nicht merken zu m\u00fcssen, aber andererseits vielleicht auch, um einen Passwort-Klau zu vermeiden (die Zugangsdaten f\u00fcr Benutzername und Kennwort werden ja verschl\u00fcsselt gespeichert). Wenn die Umgebung, in der KeePass l\u00e4uft, manipuliert werden kann, so dass sich die Kennw\u00f6rter im Klartext exportieren lassen, gibt es ein Problem.<\/p>\n

Angriffe auf KeePass und die Umgebung k\u00f6nnen nur\u00a0 verhindert werden, indem der Anwender die Umgebung sicher h\u00e4lt. CERT.be und KeePass schreiben, dass die Sicherheit gew\u00e4hrleistet werden k\u00f6nne, indem eine Antiviren-Software und eine Firewall verwendet werde, keine unbekannten E-Mail-Anh\u00e4nge \u00f6ffnet werden etc.<\/p>\n

Da kein Patch zur Verf\u00fcgung gestellt wird, schl\u00e4gt der CCB (Centre for Cyber security Belgium) vor, eine Entsch\u00e4rfung \u00fcber die erzwungene Konfigurationsfunktion zu implementieren. Dazu werden im KeePass Hardening Guide (KeePass Enhanced Security Configuration<\/a>) auf Github M\u00f6glichkeiten zur Verbesserung der Sicherheit \u00fcber eine wenig bekannte erzwungene Konfigurationsdatei aufgef\u00fchrt.\u00a0 Diese Funktion ist in erster Linie f\u00fcr Netzwerkadministratoren gedacht, die bestimmte Einstellungen f\u00fcr Benutzer einer KeePass-Installation erzwingen wollen, kann aber auch von Endbenutzern verwendet werden, um ihre KeePass-Einrichtung zu h\u00e4rten.<\/p>\n

Einstellungen in der erzwungenen Konfigurationsdatei KeePass.config.enforced.xml <\/em>haben Vorrang vor Einstellungen in globalen und lokalen Konfigurationsdateien. Mit den verschiedenen, im GitHub-Repository Keepass-Enhanced-Security-Configuration dokumentierten Optionen zum H\u00e4rten einer KeePass-Umgebung ist es zum Beispiel m\u00f6glich, die Trigger-Funktion zum Passwort-Export vollst\u00e4ndig zu deaktivieren (XPath Configuration\/Application\/TriggerSystem). Macht aber nur Sinn, wenn Nutzer diese XML-Datei nicht manipulieren k\u00f6nnen.<\/p>\n

Allerdings ist das alles eine aufw\u00e4ndige Geschichte und jeder Schritt will bedacht sein (es ist zu pr\u00fcfen, ob die H\u00e4rtung wirklich ausreichend ist). CERT.be schreibt dann auch: Organisationen k\u00f6nnten auch den Wechsel zu einem alternativen Passwort-Manager mit Unterst\u00fctzung f\u00fcr KeePass-Passwort-Tresore in Betracht ziehen<\/em>.<\/p>\n

Erg\u00e4nzung:<\/strong> Die KeePass-Entwickler diskutieren nun, ob die Warnung des CERT.be berechtigt ist oder nicht. Die Kollegen von Bleeping Computer haben das hier<\/a> aufgegriffen.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Die KeePass-Entwickler haben wegen der Schwachstelle nachgebessert, siehe\u00a0KeePass 2.53.1 bessert bei Schwachstelle CVE-2023-24055 nach<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kurzer Hinweis bzw. Warnung an Nutzer des KeePass Password Safe zur Verwaltung von Kennw\u00f6rtern und Zugangsdaten. Das Cyber Emergency Response Team aus Belgien (CERT.be) hat am 27. Januar 2023 eine Warnung zu KeePass ver\u00f6ffentlicht. Im Standard-Setup sind Schreibzugriffe auf die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-277350","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277350","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277350"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277350\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277350"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277350"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277350"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}