CVE-2023-24055 Erkennung: Berüchtigte Schwachstelle in KeePass, die möglicherweise Klartext-Passwörter preisgibt

[post-views]
Januar 25, 2023 · 3 min zu lesen
CVE-2023-24055 Erkennung: Berüchtigte Schwachstelle in KeePass, die möglicherweise Klartext-Passwörter preisgibt

Bleiben Sie wachsam! Sicherheitsforscher haben eine berüchtigte Schwachstelle entdeckt, die eine ernsthafte Bedrohung für Benutzer des beliebten Passwort-Managers KeePass darstellt. Ein Sicherheitsfehler, der als CVE-2023-24055 verfolgt wird, könnte KeePass-Version 2.5x betreffen und Angreifern potenziell erlauben, gespeicherte Passwörter im Klartext zu erhalten.

CVE-2023-24055-Erkennung

Mit einem verfügbaren Proof-of-Concept (PoC)-Exploit und in Anbetracht dessen, dass KeePass einer der beliebtesten Passwort-Manager weltweit ist, ist der vorhandene Sicherheitsfehler ein verlockendes Ziel für Angreifer. Um bösartige Aktivitäten im Zusammenhang mit der Ausnutzung von CVE-2023-24055 proaktiv zu erkennen, bietet SOC Prime’s Detection as Code Platforms eine Reihe von lizenzierten Sigma-Regeln.

Mögliche KeePass-[CVE-2023-24055]-Ausnutzungsmuster (über cmdline)

Mögliche KeePass-[CVE-2023-24055]-Ausnutzungsmuster (über PowerShell)

Beide oben genannten Regeln erkennen Ausnutzungsmuster im Zusammenhang mit der im Rampenlicht stehenden KeePass-Schwachstelle und basieren auf dem CVE-2023-24055 PoC-Exploit-Code. Dieser Code könnte von Angreifern verändert werden, um einer Entdeckung zu entgehen und den Angriff fortzusetzen, während sie unbemerkt bleiben.

Die Erkennungen sind mit 22 SIEM-, EDR- und XDR-Plattformen kompatibel und stimmen mit dem MITRE ATT&CK® Framework v12 überein, das sich mit den Taktiken Initial Credential Access und Exfiltration mit Anmeldedaten aus Passwortspeichern (T1555) und Exfiltration über Webdienste (T1567) als entsprechende Techniken befasst.

Um die bösartige Aktivität im Zusammenhang mit der potenziellen CVE-2023-24055-Ausnutzung zu erkennen, empfiehlt das SOC Prime-Team dringend, die nachfolgend aufgeführten Erkennungsregeln anzuwenden:

Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (über cmdline)

Verdächtige PowerShell-Zeichenfolgen (über PowerShell)

Aufruf verdächtiger .NET-Klassen/Methoden von der PowerShell-Befehlszeile (über Prozess_erstellung)

Aufruf verdächtiger .NET-Methoden von PowerShell (über PowerShell)

Drücken Sie die Schaltfläche ‚Erkennungen erkunden‘, um sofort Zugang zu allen lizenzierten Sigma-Regeln für CVE-2023-24055 zu erhalten, begleitet von den entsprechenden CTI-Links, ATT&CK-Referenzen und Ideen zur Bedrohungssuche.

Erkennungen erkunden

CVE-2023-24055-Analyse

KeePass ist ein extrem beliebtes, kostenloses Open-Source-Tool, das als einer der leistungsstärksten und sichersten Manager gilt. Allerdings könnte eine kürzlich enthüllte neuartige Schwachstelle KeePass betreffen und Millionen von Nutzern dem Risiko eines Angriffs aussetzen.

Wie in der Forschung von Alex Hernandez erklärt und in einem speziellen SourceForge-Threaddetailliert ist, könnte die betreffende Schwachstelle einem Angreifer mit Schreibzugriff auf die XML-Konfigurationsdatei erlauben, die Klartext-Passwörter zu erhalten, indem ein Export-Trigger hinzugefügt wird. Der PoC-Exploit für CVE-2023-24055, ein Scanner dafür und eine Liste von Trigger-Beispielen wurden öffentlich veröffentlicht auf Alex Hernandez‘ GitHub.

Bemerkenswerterweise erklärt der Anbieter, dass die Passwort-Datenbank nicht sicher gegen einen Angreifer ist, der über einen solchen Zugang zu einem lokalen PC verfügt. Außerdem ist die Liste der betroffenen KeePass-Versionen noch umstritten. Zurzeit wird angenommen, dass KeePass v2.5x betroffen ist. Den Benutzern wird dringend geraten, auf die neueste Version 2.53 zu aktualisieren, um potenzielle Kompromisse zu verhindern.

Steigern Sie Ihre Bedrohungserkennungskapazitäten und beschleunigen Sie die Bedrohungssuche, ausgestattet mit Sigma, MITRE ATT&CK und Detection as Code, um immer kuratierte Erkennungsalgorithmen gegen jede gegnerische TTP oder ausnutzbare Schwachstelle zur Hand zu haben. Erhalten Sie 800 Regeln für bestehende CVEs, um proaktiv gegen die bedrohlichsten Gefahren zu verteidigen. Erreichen Sie sofort 140+ Sigma-Regeln kostenlos oder erhalten Sie alle relevanten Erkennungsalgorithmen on Demand bei https://my.socprime.com/pricing/.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt 5 min zu lesen Neueste Bedrohungen Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt by Daryna Olyniychuk CVE-2025-8292: Use-After-Free-Schwachstelle in Google Chrome ermöglicht RCE und Systemkompromittierung 3 min zu lesen Neueste Bedrohungen CVE-2025-8292: Use-After-Free-Schwachstelle in Google Chrome ermöglicht RCE und Systemkompromittierung by Daryna Olyniychuk CVE-2025-53770 Erkennung: Microsoft SharePoint Zero-Day-Schwachstelle wird aktiv für RCE-Angriffe ausgenutzt 5 min zu lesen Neueste Bedrohungen CVE-2025-53770 Erkennung: Microsoft SharePoint Zero-Day-Schwachstelle wird aktiv für RCE-Angriffe ausgenutzt by Daryna Olyniychuk
Alle Nachrichten