Passwortstate kommt vorwiegend bei Unternehmen zur Kennwortverwaltung zum Einsatz. Cyberkriminelle könnte aufgrund einer Sicherheitslücke Passwörter ausspionieren. Ein Update ist bereits verfügbar.
Angesichts einer unsicheren API-Implementierung könnten Cyberkriminelle an drei Schwachstellen im Kennwortmanager Passwordstate angreifen. Im Falle einer erfolgreichen Cyberattacke, könnten Passwörter überschrieben oder auch unverschlüsselt ausgelesen werden.
Sicherheitsforscher von Modzero bestätigen in einem Bericht, dass sie bei einer Überprüfung von Passwordstate auf drei Sicherheitslücken (CVE-2022-3875 „hoch“ CVE-2022-3876 „mittel“ CVE-2022-3877 „niedrig“) aufmerksam geworden sind, die Kriminelle miteinander kombinieren könnten. Inzwischen haben Entwickler die Sicherheitslücke in Passwordstate 9.6 Build 9653 behoben.
API-Implementierung verursacht Schwachstelle
Bei der Untersuchung wurde vorwiegend die API für die Browser-Erweiterung betrachtet. Dabei stellte sich heraus, dass der API Token String nicht beliebig generiert wurde und auch nicht kryptografisch signiert ist. Stattdessen wurde eine XOR-Verschlüsselung mit einem hartcodierten Schlüssel verwendet.
Ein weiterer fataler Fehler wurde durch die Forscher aufgedeckt. Sie stellten fest, dass zur Validierung eines Tokens lediglich ein Nutzername benötigt wird. Dadurch konnten die Forscher mit einem bekannten Nutzernamen einen gültigen Token erzeugen und Daten, die die Browser-Erweiterung verarbeitet, einsehen und modifizieren. Aufgrund der Tatsache, dass die Passwörter nur serverseitig verschlüsselt sind, konnten die Forscher, nach eigenen Angaben, über die API auf mehrere unverschlüsselte Kennwörter zugreifen.
Uneingeschränkter Zugriff
Anhand einer XSS Payload haben Forscher falsche Kennwörter in Passwortlisten abgelegt. Wurde nun ein Fake-Eintrag durch einen Admin geöffnet, konnten die Forscher über eine Reverse Shell alle Kennwörter aus einer Passwordstate-Instanz extrahiert werden.
Bereits kürzlich wurde die serverseitige Verschlüsselung durch Sicherheitsforscher von Northwave Security umgangen. Deren Proof-of-Concept-Code extrahiert einen AES-Schlüssel für den Zugriff. Nach Angaben von Modzero kommt dieser Schlüssel immer noch zum Einsatz und kann die Passwörter entschlüsseln.
Weitere Informationen zu den Cyberangriffen haben die Forscher in einem ausführlichen Report festgehalten.