KeepassXC: BSI warnt vor Schwachstelle - Entwickler dementiert

Diskussionen über mögliche Schwachstellen im populären Passwort-Manager KeePassXC sorgen derzeit für Aufsehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor den Lücken und stuft sie als äußerst riskant ein. Laut der BSI-Warnung können lokale Angreifer innerhalb einer authentifizierten Datenbanksitzung Änderungen an den Sicherheitseinstellungen vornehmen. Hierzu gehört auch das Master-Kennwort und die Zwei-Faktor-Authentifizierung (2FA), ohne dass eine zusätzliche Genehmigung verlangt wird.

Im Github-Projekt von KeePassXC wurden zwei Fehlermeldungen veröffentlicht. In der ersten wird beschrieben, dass nach einer vorherigen Anmeldung kein erneutes Passwort erforderlich ist, um die Datenbank zu exportieren oder das Master-Kennwort zu ändern. Die zweite Fehlermeldung betrifft insbesondere die Zwei-Faktor-Authentifizierung. Hier können Angreifer die Einstellung zur Deaktivierung von 2FA auswählen, ohne den zweiten Faktor abzufragen. Diese Schwachstelle wird als eigenständig betrachtet.

Einer der Entwickler von KeePassXC namens "droidmonkey" plant, die Schwachstellen mit der Version 2.8.0 zu beheben. Sein Kollege "phoerious" hingegen betont, dass es sich hierbei nicht um eine Schwachstelle handelt, da lokale Angreifer in einer entsperrten Datenbank verschiedene Aktionen durchführen können. Dies sei auf das Design und die Funktionsweise von KeePassXC zurückzuführen.

Da KeePassXC kein Online-Dienst ist, können zusätzliche Passwortabfragen umgangen werden. Darüber hinaus gebve es keinen Grund für Angreifer, das Passwort zu ändern, da sie bei Zugriff auf die entsperrte Datenbank automatisch Zugriff auf die darin enthaltenen Informationen haben. Der Entwickler beantragte daher, den CVE-Eintrag zurückzuweisen und schloss die Problemmeldung entsprechend.