Software

Hacker haben möglicherweise den Hauptschlüssel für einen anderen Passwort-Manager

Die besten Passwort-Manager sollen alle Ihre Login-Daten und Kreditkarteninformationen sicher und geschützt aufbewahren, aber eine große neue Sicherheitslücke setzt Benutzer des KeePass-Passwort-Managers gerade einem ernsthaften Risiko aus, gehackt zu werden.

Tatsächlich ermöglicht der Exploit einem Angreifer, das Master-Passwort eines KeePass-Benutzers im Klartext – also in unverschlüsselter Form – zu stehlen, indem er es einfach aus dem Speicher des Zielcomputers extrahiert. Es handelt sich um einen bemerkenswert einfachen Hack, der jedoch besorgniserregende Folgen haben könnte.

Hacker haben möglicherweise den Hauptschlüssel für einen anderen Passwort-ManagerDie Sicherheitslücke im KeePass-Master-Passwort wurde vom Sicherheitsforscher „vdohney“ entdeckt. Das extrahierte Master-Passwort (abzüglich der ersten beiden Zeichen) wird am Ende der Zeile „Combined“ angezeigt. Piepender Computer

Passwort-Manager wie KeePass sperren alle Ihre Anmeldeinformationen, um sie sicher aufzubewahren, und alle diese Daten werden hinter einem Master-Passwort versiegelt. Sie geben Ihr Master-Passwort ein, um auf alles zuzugreifen, was in Ihrem Tresor gespeichert ist, was ihn zu einem wertvollen Ziel für Hacker macht.

Hacker haben möglicherweise den Hauptschlüssel für einen anderen Passwort-Manager

Wie Bleeping Computer berichtet, wurde die KeePass-Schwachstelle vom Sicherheitsforscher „vdohney“ entdeckt, der ein Proof-of-Concept (PoC)-Tool auf GitHub veröffentlichte. Dieses Tool ist in der Lage, fast das gesamte Master-Passwort (mit Ausnahme der ersten ein oder zwei Zeichen) in lesbarer, unverschlüsselter Form zu extrahieren. Dies ist sogar möglich, wenn KeePass gesperrt ist und möglicherweise die App vollständig geschlossen ist.

Das liegt daran, dass das Master-Passwort aus dem Speicher von KeePass extrahiert wird. Wie der Forscher erklärt, kann dieser auf verschiedene Arten erlangt werden: „Es spielt keine Rolle, woher der Speicher kommt – es kann sich um den Prozess-Dump, die Auslagerungsdatei (pagefile.sys), die Ruhezustandsdatei (hiberfil.sys) oder den RAM handeln.“ Dump des gesamten Systems.“

LESEN  Ist macOS sicherer als Windows? Dieser Bericht hat die Antwort

Der Exploit existiert dank eines benutzerdefinierten Codes, den KeePass verwendet. Wenn Sie Ihr Master-Passwort eingeben, tun Sie dies in einem benutzerdefinierten Feld namens SecureTextBoxEx. Trotz des Namens stellt sich heraus, dass dieses Feld doch nicht so sicher ist, da jedes in das Feld eingegebene Zeichen im Wesentlichen eine übrig gebliebene Kopie von sich selbst im Systemspeicher hinterlässt. Es sind diese Restzeichen, die das PoC-Tool findet und extrahiert.

Eine Lösung kommt

Hacker haben möglicherweise den Hauptschlüssel für einen anderen Passwort-Manager

Der einzige Nachteil dieser Sicherheitsverletzung besteht darin, dass ein physischer Zugriff auf den Computer erforderlich ist, von dem das Master-Passwort extrahiert werden soll. Aber das ist nicht unbedingt immer ein Problem – wie wir in der LastPass-Exploit-Saga gesehen haben, können Hacker mithilfe angreifbarer Fernzugriffs-Apps, die auf dem Computer installiert sind, Zugriff auf den Computer eines Ziels erhalten.

Wenn ein Zielcomputer mit Malware infiziert wäre, könnte er so konfiguriert werden, dass er den Speicher von KeePass leert und sowohl ihn als auch die Datenbank der App an den eigenen Server des Hackers zurücksendet, sodass der Bedrohungsakteur das Master-Passwort in seinem eigenen Tempo extrahieren kann.

Glücklicherweise sagt der Entwickler von KeePass, dass eine Lösung in Vorbereitung ist. Eine der möglichen Abhilfemaßnahmen besteht darin, zufälligen Dummy-Text in den Speicher der App einzufügen, der das Passwort verschleiern würde. Die Veröffentlichung des Fixes wird voraussichtlich nicht vor Juni oder Juli 2023 erfolgen, was für jeden, der Angst vor der Offenlegung seines Master-Passworts hat, eine schmerzhafte Wartezeit sein könnte. Allerdings hat der Entwickler auch eine Beta-Version des Fixes veröffentlicht, die von der KeePass-Website heruntergeladen werden kann.

LESEN  Apple hat gerade den Termin für die WWDC 2024 bekannt gegeben

Die Sicherheitslücke zeigt nur, dass selbst scheinbar sichere Apps wie Passwort-Manager angegriffen werden können, und es ist nicht das erste Mal, dass in KeePass eine schwerwiegende Schwachstelle entdeckt wurde. Wenn Sie sich vor Online-Bedrohungen wie diesem neuesten Exploit schützen möchten, vermeiden Sie das Herunterladen von Apps oder das Öffnen von Dateien von unbekannten Absendern, meiden Sie fragwürdige Websites und verwenden Sie eine Antiviren-App. Und natürlich geben Sie das Master-Passwort Ihres Passwort-Managers niemals an Dritte weiter.

Ähnliche Artikel

Ist macOS sicherer als Windows? Dieser Bericht hat die Antwort

Ist macOS sicherer als Windows? Dieser Bericht hat die Antwort

18.08.2023
Hacker geben sich als Cybersicherheitsfirma aus, um Ihren PC zu sperren

Hacker geben sich als Cybersicherheitsfirma aus, um Ihren PC zu sperren

08.09.2023
So erstellen Sie ein neues Team in Microsoft Teams

So erstellen Sie ein neues Team in Microsoft Teams

30.03.2024
Mit dem Bundle sparen Sie 83 % bei Malwarebytes, 1Password und mehr

Mit dem Bundle sparen Sie 83 % bei Malwarebytes, 1Password und mehr

18.08.2023
Dashlane-Test: mehr als nur ein Passwort-Manager

Dashlane-Test: mehr als nur ein Passwort-Manager

vor 2 Wochen
So fügen Sie Desktop-Widgets in macOS Sonoma hinzu und verwenden sie

So fügen Sie Desktop-Widgets in macOS Sonoma hinzu und verwenden sie

21.12.2023
Ist ExpressVPN kostenlos? Eine Aufschlüsselung der Kosten dieses beliebten VPN

ExpressVPN-Angebote: Sparen Sie 49 %, wenn Sie sich noch heute anmelden

06.05.2024
Apple hat gerade den Termin für die WWDC 2024 bekannt gegeben

Apple hat gerade den Termin für die WWDC 2024 bekannt gegeben

03.04.2024
Mit diesem Angebot erhalten Sie ein Jahr lang McAfee Antivirus für 15 €

Mit diesem Angebot erhalten Sie ein Jahr lang McAfee Antivirus für 15 €

18.08.2023
Bitwarden-Test: Open-Source-Passwortmanager bietet mehr

Bitwarden-Test: Open-Source-Passwortmanager bietet mehr

vor 1 Woche
Die besten kostenlosen Passwort-Manager

Die besten kostenlosen Passwort-Manager

vor 1 Woche
Ich habe mich bei der Verwendung von Stage Manager auf dem Mac geirrt

Ich habe mich bei der Verwendung von Stage Manager auf dem Mac geirrt

19.04.2024
Diese clevere Browsererweiterung könnte Viren endgültig verbannen

Diese clevere Browsererweiterung könnte Viren endgültig verbannen

18.08.2023
So passen Sie Mausgesten auf dem Mac an

So passen Sie Mausgesten auf dem Mac an

07.05.2024
Chinesische Hacker wurden beim Angriff auf wichtige US-Infrastruktur erwischt

Chinesische Hacker wurden beim Angriff auf wichtige US-Infrastruktur erwischt

18.08.2023
So finden und kopieren Sie einen Dateipfad auf dem Mac

So finden und kopieren Sie einen Dateipfad auf dem Mac

27.03.2024
Privacy Policy
  • Cookie Policy
  • Über uns
  • Contact Us
    • Schaltfläche "Zurück zum Anfang"