FragMichMa
Now Reading
Angreifer könnten Sicherheitslücken im Passwortmanager Passwordstate kombinieren
FragMichMa
FragMichMa

Angreifer könnten Sicherheitslücken im Passwortmanager Passwordstate kombinieren

by
December 23, 2022
Angreifer könnten Sicherheitslücken im Passwortmanager Passwordstate kombinieren

[ad_1]

Aufgrund einer unsicheren API-Implementierung könnten Angreifer an drei Schwachstellen im Firmen-Passwortmanager Passwordstate veranschlagen. Sind Attacken siegreich, könnten sie Passwörter betiteln oder sogar unverschlüsselt herauspicken.

In einem Informationsaustausch zur Folge haben Sicherheitsforscher von Modzero aus, dass sie im Rahmen einer Untersuchung von Passwordstate hinaus drei Sicherheitslücken (CVE-2022-3875 “hoch” CVE-2022-3876 “mittel” CVE-2022-3877 “tief“) gestoßen sind, die Angreifer miteinander kombinieren könnten. Mittlerweile nach sich ziehen die Entwickler die Lücken in Passwordstate 9.6 Build 9653 geschlossen.

Schwachstelle API-Implementierung

Im Kontext dieser Schlussbemerkung nach sich ziehen sie sich vor allem die API für jedes die Browser-Erweiterung angeschaut. Nun fanden sie hervor, dass dieser API Token Zeichenfolge nicht zufällig erzeugt wurde und unter ferner liefen nicht kryptografisch signiert ist. Vielmehr kam eine XOR-Verschlüsselung mit einem hartcodierten Schlüssel zum Hinterlegung.

Schlimmer noch: Zur Validierung eines Tokens gewünscht man den Forschern zufolge lediglich kombinieren Nutzernamen. Indem konnten die Forscher sich mit einem bekannten Nutzernamen kombinieren gültigen Token erzeugen und die Information, die die Browser-Erweiterung verarbeitet, hineinblicken und modifizieren. Da die Passwörter nur serverseitig verschlüsselt sind, konnten sie droben die API eigenen Datensammlung zufolge hinaus wenige unverschlüsselte Kennwörter zupacken.

Vollständiger Zugriff

Mittels einer XSS Payload nach sich ziehen die Forscher dann falsche Passwörter in Kennwortlisten abgelegt. Öffnet nun ein Administrator kombinieren Fake-Item, konnten die Forscher droben eine Reverse Shell jeder Passwörter aus einer Passwordstate-Instanz extrahieren.

Die serverseitige Verschlüsselung wurde schon vor einiger Zeit durch Sicherheitsforscher von Northwave Security ausgehebelt. Deren Proof-of-Concept-Quelltext extrahiert kombinieren AES-Schlüssel für jedes den Zugriff. Wie Modzero herausgefunden hat, kommt dieser Schlüssel immer noch zum Hinterlegung und sie konnten die Passwörter entschlüsseln.

Weiterführende Informationen zu Attacken nach sich ziehen die Forscher in ihrem ausführlichen Report zusammengetragen.


(des)

[ad_2]
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top