Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Angreifer könnten Sicherheitslücken im Passwortmanager Passwordstate kombinieren

Passwordstate kommt vornehmlich in Firmen zur Kennwortverwaltung zum Einsatz. Angreifer könnten Passwörter im Klartext auslesen. Ein Update ist verfügbar.

Du musst Regestriert sein, um das angehängte Bild zusehen.


Aufgrund einer unsicheren API-Implementierung könnten Angreifer an drei Schwachstellen im Firmen-Passwortmanager Passwordstate ansetzen. Sind Attacken erfolgreich, könnten sie Passwörter überschreiben oder sogar unverschlüsselt auslesen.

In einem Bericht führen Sicherheitsforscher von Modzero aus, dass sie bei einer Untersuchung von Passwordstate auf drei Sicherheitslücken (CVE-2022-3875 "hoch" CVE-2022-3876 "mittel" CVE-2022-3877 "niedrig") gestoßen sind, die Angreifer miteinander kombinieren könnten. Mittlerweile haben die Entwickler die Lücken in Passwordstate 9.6 Build 9653 geschlossen.

Schwachstelle API-Implementierung

Bei der Analyse haben sie sich vor allem die API für die Browser-Erweiterung angeschaut. Dabei fanden sie heraus, dass der API Token String nicht zufällig erzeugt wurde und auch nicht kryptografisch signiert ist. Vielmehr kam eine XOR-Verschlüsselung mit einem hartcodierten Schlüssel zum Einsatz.

Schlimmer noch: Zur Validierung eines Tokens benötigt man den Forschern zufolge lediglich einen Nutzernamen. Dadurch konnten die Forscher sich mit einem bekannten Nutzernamen einen gültigen Token erzeugen und die Daten, die die Browser-Erweiterung verarbeitet, einsehen und modifizieren. Da die Passwörter nur serverseitig verschlüsselt sind, konnten sie über die API eigenen Angaben zufolge auf einige unverschlüsselte Kennwörter zugreifen.

Vollständiger Zugriff

Mittels einer XSS Payload haben die Forscher dann falsche Passwörter in Kennwortlisten abgelegt. Öffnet nun ein Admin einen Fake-Eintrag, konnten die Forscher über eine Reverse Shell alle Passwörter aus einer Passwordstate-Instanz extrahieren.

Die serverseitige Verschlüsselung wurde schon vor einiger Zeit durch Sicherheitsforscher von Northwave Security ausgehebelt. Deren Proof-of-Concept-Code extrahiert einen AES-Schlüssel für den Zugriff. Wie Modzero herausgefunden hat, kommt dieser Schlüssel immer noch zum Einsatz und sie konnten die Passwörter entschlüsseln.

Weiterführende Informationen zu Attacken haben die Forscher in ihrem ausführlichen Report zusammengetragen.

Quelle; heise
 
Zurück
Oben