ComputerBase Menü
Aktuelles

Schwachstelle in Keepass

Oli_P

Oli_P

Commodore
Registriert
Mai 2006
Beiträge
4.654
Auf Heise war mir letztens dieser Artikel aufgefallen. Ich weiss nicht was ich davon halten soll. Wenn jemand Zugriff auf meinen Rechner hat, kann die Person auch an die Keepass-Konfiguration ran. Ergo, darf mein Rechner nicht entsperrt sein; z.B. wenn ich nicht im Büro bin und Leute dran könnten. Will nicht paranoid klingen, aber ist das wirklich eine Sicherheitslücke, was im Heise-Artikel beschrieben wird?
Aber wie versteh ich das? Wenn meine Datenbank gesperrt ist, kann jemand trotz Passwort und Schlüsseldatei meine Datenbank auslesen mittels Manipulation der Konfigurations-Datei von Keepass? Das kann ich mir irgendwie nicht vorstellen.
 
Zuletzt bearbeitet:
Nein, ich tipp am PC und hatte versehenlich den Beitrag abgeschickt. Passiert mir selten, aber heute ist mal so ein Tag :D An alle: Ja, genau den Artikel von Heise hatte ich verlinkt (sieht man das nicht?).
 
Zuletzt bearbeitet:
Das ALL wurde 2008 zuletzt gesehen, das kommt nicht mehr, versuch mal eher das Universum anzuschreiben, vielleicht klappt das :D (nicht ernst nehmen :mussweg: )
 
LOL, ich hab versucht es weg zu kriegen. Es geht nicht :D Sogar als ich das "@" durch "An" ersetzt hatte... Der will jetzt immer "All" anquatschen :)
 
Zu deiner Frage: die "Lücke" kann genutzt werden um unbemerkt einen Export an ein beliebiges(?) Ziel auszulösen. Dazu muss der Angreifer Zugriff auf die Konfigurationsdatei haben.

D.h.: ja, wenn du deinen Rechner nicht sperrst und andere Personen Zugriff haben könnten sie theoretisch deine Passwörter bekommen. Wenn sie allerdings eh schon diese Art von Zugriff haben gibt es unzählige andere Wege wie sie dir schaden können.. deshalb: immer schön den Rechner sperren :D
 
wenn jemand zugriff auf deinen rechner hat, kann er auch einfach keepass.exe gegen eine manipulierte version austauschen, die z.b. alle passwörter nach eingabe des masterpassworts ins netz schickt. daher wird es wohl auch keine fix für diesen angriff über konfigurationsdatei geben.

Alexander2 schrieb:
Zu der schwachstelle, ist die verschlüsselte Datei an sich gefährdet?
Zum Vergrößern anklicken....
nein. nur keepass kann mittels manipulierter konfigurationsdatei dazu gebracht werden, die passwörter im klartext zu exportieren.
 
  • Gefällt mir
Reaktionen: Oli_P
Das ist ja die Frage die ich mir stelle. Ich verstehe den Heise-Artikel nicht so ganz. Wenn die Datei sicher verschlüsselt ist, dann ist diese sicher verschlüsselt. Da änderst du doch nix dran, wenn du was an der Keepass Konfigurations-Datei änderst. Um die Schwachstelle auszunutzen, müsste ja dann auch die Datenbank gleichzeitig entsperrt sein. So álà: Hey, ich muss mal aufs Klo! Bin gleich zurück. Du gehst aus dem Büro und vergisst deine Datenbank und deinen Rechner zu sperren. Zack, da kommt der böse Kollege und manipuliert deine Keepass-Konfig-Datei...
 
Der Angreifer ändert deine Konfig. Du kommst vom Klo und entsperrst die Daten und schwuppst wird unbemerkt ein Export ausgelöst...
 
  • Gefällt mir
Reaktionen: Oli_P
Gemeint ist wohl, dass der Angreifer mit der modifizierten XML einen Export-Trigger einbaut, welcher wiederum automatisch beim Entsperren der Datenbank einen Klartext-Export der gespeicherten Zugangsdaten auslöst.

Diesen Export kann er sich dann abgreifen.
 
  • Gefällt mir
Reaktionen: Oli_P
The issue is that KeePass has this weird feature that queues up a cleartext password export for the next time you authenticate.
Zum Vergrößern anklicken....
https://securityboulevard.com/2023/01/keepass-password-manager-leak-cve-richixbw/

Du musst dich nach der Manipulation also einmal anmelden. Danach kann dein Keepass Passwort ausgelesen werden.
Ist dem Angreifer z.B. dein Windows-Passwort bekannt kann er so (unbemerkt) auch dein KeePass-Passwort und damit all deine anderen Passwörter auslesen. Aber wenn dem Angreifer dein Windows-Passwort bekannt ist, kann er auch ganz anderen Schabernack treiben.
 
  • Gefällt mir
Reaktionen: Oli_P
Achso? Dann versteh ich das mit der Meldung, die man sich durch Keepass ausgeben lassen kann (welche der Angreifer aber auch ganz einfach deaktivieren kann). Der einzig sichere Weg ist, seinen Rechner zu sperren beim verlassen des Büros (und sein Passwort niemanden zu geben => das tu ich nicht, auch wenn ich schon gefragt wurde danach). Stimmt, Keepass kann nur so sicher sein wie die Umgebung in der es läuft.

Bin jetzt nicht im Panik-Modus als passionierter Nutzer dieser Software. Aber ich wollte das Problem besser verstehen. Danke euch und schönen Freitag abend :schluck:
 
Oli_P schrieb:
Der einzig sichere Weg ist, seinen Rechner zu sperren beim verlassen des Büros
Zum Vergrößern anklicken....
der rechner selbst muss verschlüsselt sein, denn es hindert ja niemanden daran, den rechner z.b. mit einem live-linux zu booten und von da aus die config zu ändern.
 
Wer fragt dich denn auf der Arbeit nach deinem Passwort? Das würde ich ohne mit der Wimper zu zucken melden... sorry aber für soviel Dummheit muss man einfach bestraft werden... (also nicht du, sondern der der gefragt hat).
 
0x8100 schrieb:
der rechner selbst muss verschlüsselt sein, denn es hindert ja niemanden daran, den rechner z.b. mit einem live-linux zu booten und von da aus die config zu ändern.
Zum Vergrößern anklicken....
Natürlich, aber das dauert zu lange ;) (bin ja im genannten Beispiel nur mal kurz zum Klo)
Ergänzung ()

Korben2206 schrieb:
Wer fragt dich denn auf der Arbeit nach deinem Passwort? Das würde ich ohne mit der Wimper zu zucken melden... sorry aber für soviel Dummheit muss man einfach bestraft werden... (also nicht du, sondern der der gefragt hat).
Zum Vergrößern anklicken....
Ich wurde das gefragt von unbedarften PC-Nutzern, die einfach nur während meiner Abwesenheit auf gewisse berufsbezogenen Informationen zugreifen wollten. Ich habe das verweigert, dafür muss es andere Lösungen geben als mein Passwort preis zu geben. Aber andere Leute tun das untereinander, ich sehe sowas schonmal. Diese Leute aber haben keine bösen Absichten glaub ich. Aber für mich ist das nix, würd ich nie tun.
 
Auch ain von dir benutztes manipuliertes programm kann ja diese config datei austauschen/anpassen, also das reine ausloggen an sich sehe ich nicht als genügend abgesichert an. Nach der Beschreibung die hier gegeben wurde ist das schon eine Lücke die gefixt gehört. oder abgesichert auf eine weise, das sie nicht missbraucht werden kann.
 
  • Gefällt mir
Reaktionen: Oli_P
Aber dann ist mein Rechner gesperrt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Keepass Masterpasswort
Antworten
1
Aufrufe
2.103
martinallnet
M
M
KeePass: the key transformation settings of the database are weak
Antworten
5
Aufrufe
8.369
xNeo92x
xNeo92x
G
KeePass Schlüsseldatei wo ablegen, Konzept ohne Yubi-Key?
2
Antworten
31
Aufrufe
4.972
Geeky26
G
A
Keepass Passwortdatenbank mit Google Drive synchronisieren
2 3
Antworten
41
Aufrufe
6.860
AlfRein
A
B
Netzwerkzugriff auf Serverordner
Antworten
6
Aufrufe
675
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz