Passwordstate kommt vornehmlich in Firmen zur Kennwortverwaltung zum Einsatz. Angreifer könnten Passwörter im Klartext auslesen. Ein Update ist verfügbar.
Aufgrund einer unsicheren API-Implementierung könnten Angreifer an drei Schwachstellen im Firmen-Passwortmanager Passwordstate ansetzen. Sind Attacken erfolgreich, könnten sie Passwörter überschreiben oder sogar unverschlüsselt auslesen.
In einem Bericht führen Sicherheitsforscher von Modzero aus, dass sie bei einer Untersuchung von Passwordstate auf drei Sicherheitslücken (CVE-2022-3875 "hoch" CVE-2022-3876 "mittel" CVE-2022-3877 "niedrig") gestoßen sind, die Angreifer miteinander kombinieren könnten. Mittlerweile haben die Entwickler die Lücken in Passwordstate 9.6 Build 9653 geschlossen.
Schwachstelle API-Implementierung
Bei der Analyse haben sie sich vor allem die API für die Browser-Erweiterung angeschaut. Dabei fanden sie heraus, dass der API Token String nicht zufällig erzeugt wurde und auch nicht kryptografisch signiert ist. Vielmehr kam eine XOR-Verschlüsselung mit einem hartcodierten Schlüssel zum Einsatz.
Schlimmer noch: Zur Validierung eines Tokens benötigt man den Forschern zufolge lediglich einen Nutzernamen. Dadurch konnten die Forscher sich mit einem bekannten Nutzernamen einen gültigen Token erzeugen und die Daten, die die Browser-Erweiterung verarbeitet, einsehen und modifizieren. Da die Passwörter nur serverseitig verschlüsselt sind, konnten sie über die API eigenen Angaben zufolge auf einige unverschlüsselte Kennwörter zugreifen.
Vollständiger Zugriff
Mittels einer XSS Payload haben die Forscher dann falsche Passwörter in Kennwortlisten abgelegt. Öffnet nun ein Admin einen Fake-Eintrag, konnten die Forscher über eine Reverse Shell alle Passwörter aus einer Passwordstate-Instanz extrahieren.
Die serverseitige Verschlüsselung wurde schon vor einiger Zeit durch Sicherheitsforscher von Northwave Security ausgehebelt. Deren Proof-of-Concept-Code extrahiert einen AES-Schlüssel für den Zugriff. Wie Modzero herausgefunden hat, kommt dieser Schlüssel immer noch zum Einsatz und sie konnten die Passwörter entschlüsseln.
Weiterführende Informationen zu Attacken haben die Forscher in ihrem ausführlichen Report zusammengetragen.
Quelle; heise
Aufgrund einer unsicheren API-Implementierung könnten Angreifer an drei Schwachstellen im Firmen-Passwortmanager Passwordstate ansetzen. Sind Attacken erfolgreich, könnten sie Passwörter überschreiben oder sogar unverschlüsselt auslesen.
In einem Bericht führen Sicherheitsforscher von Modzero aus, dass sie bei einer Untersuchung von Passwordstate auf drei Sicherheitslücken (CVE-2022-3875 "hoch" CVE-2022-3876 "mittel" CVE-2022-3877 "niedrig") gestoßen sind, die Angreifer miteinander kombinieren könnten. Mittlerweile haben die Entwickler die Lücken in Passwordstate 9.6 Build 9653 geschlossen.
Schwachstelle API-Implementierung
Bei der Analyse haben sie sich vor allem die API für die Browser-Erweiterung angeschaut. Dabei fanden sie heraus, dass der API Token String nicht zufällig erzeugt wurde und auch nicht kryptografisch signiert ist. Vielmehr kam eine XOR-Verschlüsselung mit einem hartcodierten Schlüssel zum Einsatz.
Schlimmer noch: Zur Validierung eines Tokens benötigt man den Forschern zufolge lediglich einen Nutzernamen. Dadurch konnten die Forscher sich mit einem bekannten Nutzernamen einen gültigen Token erzeugen und die Daten, die die Browser-Erweiterung verarbeitet, einsehen und modifizieren. Da die Passwörter nur serverseitig verschlüsselt sind, konnten sie über die API eigenen Angaben zufolge auf einige unverschlüsselte Kennwörter zugreifen.
Vollständiger Zugriff
Mittels einer XSS Payload haben die Forscher dann falsche Passwörter in Kennwortlisten abgelegt. Öffnet nun ein Admin einen Fake-Eintrag, konnten die Forscher über eine Reverse Shell alle Passwörter aus einer Passwordstate-Instanz extrahieren.
Die serverseitige Verschlüsselung wurde schon vor einiger Zeit durch Sicherheitsforscher von Northwave Security ausgehebelt. Deren Proof-of-Concept-Code extrahiert einen AES-Schlüssel für den Zugriff. Wie Modzero herausgefunden hat, kommt dieser Schlüssel immer noch zum Einsatz und sie konnten die Passwörter entschlüsseln.
Weiterführende Informationen zu Attacken haben die Forscher in ihrem ausführlichen Report zusammengetragen.
Quelle; heise