Es gibt derzeit Diskussionen über eine Schwachstelle im beliebten Passwort-Manager KeePassXC. Das CERT-Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor den Lücken und stuft sie als hochriskant ein.
Laut Fehlerbeschreibung können lokale Angreifer Änderungen an den Datenbank-Sicherheitseinstellungen einschließlich des Master-Kennworts und der Zwei-Faktor-Authentifizierung innerhalb einer authentifizierten Datenbank-Sitzung vornehmen, ohne diese Änderungen etwa durch die Eingabe des Master-Passworts oder Vorlage des zweiten Faktors zu authentifizieren (CVE-2023-35866, CVSS laut BSI 7.1, Risiko "hoch").
KeePassXC: Zwei ähnliche Lücken Es gibt zwei Fehlermeldungen im Github-Projekt von KeePassXC dazu. Der erste Problembericht erläutert, dass der Export der Datenbank oder das Ändern des Master-Kennworts nach einem vorherigen Log-in keine weitere Abfrage des Passworts vorsehe. Andere Passwort-Manager würden dies anders handhaben. Wenn ein Angreifer durch eine Sicherheitslücke in den Rechner eindringt, könne er in KeePassXC unbemerkt die Klartext-Passwörter exportieren oder das Master-Kennwort ändern, ohne jedweden Schutz.
Eine zweite Fehlermeldung betrifft die Sicherheitseinstellungen, etwa zur Nutzung von Mehr-Faktor-Authentifizierung. Ist sie aktiviert, kann die Einstellung ausgewählt werden, die sie deaktiviert, ohne, dass der zweite Faktor abgefragt würde. Die meldende Person stuft sie als gleichartige, aber andere Schwachstelle als die obige ein.
Der KeePassXC-Entwickler mit dem Handle droidmonkey hat eine geplante Korrektur für die Schwachstellen für KeePassXC 2.8.0 anvisiert und zeigt sich offenbar verwundert über den CVE-Eintrag der Schwachstelle. Aktuell – und für die Lücken anfällig – ist KeePassXC 2.7.5.
Auch andere Passwort-Manager haben gelegentlich mit Schwachstellen im Sicherheitskonzept zu kämpfen. Vergangene Woche wurde bekannt, dass der Master-Schlüssel von Bitwarden für alle lesbar war. Das Problem hatten die Entwickler mit einem Update im April korrigiert.
(dmk)
Angreifer muss bei der Lücke also schon im Rechner eingenistet sein, ich weiß da nicht, ob man da jetzt spezifisch wg. Keepassxc alarmiert sein soll. Das ist ja eh schon das worst case Szenario.
Also eher etwas heiße Luft und nicht dem Alarmgetue entsprechend.
Meist ist der Passwortmanager schon entsperrt aufm Rechner. Wenn also nen Angreifer drauf kommt ist es für ihn ja sowieso ein einfaches Spiel. Interessant wirds wenn der Angreifer wartet bis man den PC sperrt, sich dann einloggt und die Datenbank mit der Schwachstelle abzapft. Dann bekommt man unter Umständen gar nichts mit.
Ich bin mir jetzt nicht sicher ob das eine Standardeinstellung ist, aber bei mir wird die Datenbank von KeePassXC automatisch gesperrt wenn ich meinen PC sperre.
Wenn ich meinen PC entsperre muss ich das Passwort von KeePass auch nochmal eingeben bevor ich an meine Passwörter komme