Forscher: Passwort-Verschlüsselung unter Windows nicht sicher

BetriebssystemEnterpriseSicherheitWorkspace

Recherchen von Sicherheitsforscher Elli Bursztein haben kürzlich dazu geführt, dass Microsoft den Geodaten-Service der Plattform Live.com überarbeitet hat. Auf der Black-Hat-Konferenz hat Bursztein nun auf ein weiteres angebliches Sicherheitsproblem bei Microsoft aufmerksam gemacht. Es betrifft die Passwort-Verschlüsselung unter Windows.

Elie Bursztein (links) präsentiert Lücken in der Passwort-Verschlüsselung von Windows. Quelle: Declan McCullagh, News.com.
Elie Bursztein (links) präsentiert Lücken in der Passwort-Verschlüsselung von Windows. Quelle: Declan McCullagh, News.com.

Während einer Präsentation in Las Vegas zeigte Bursztein, wie sich ein Laptop-Dieb den Zugang zu Passwörtern verschaffen kann, etwa für Web-Accounts von beispielsweise Amazon, Google, Yahoo, Facebook oder anderen. Eigentlich sollten solche Passwörter durch die in Windows integrierte Verschlüsselung geschützt sein.

Doch Bursztein und sein Team zeigten, wie sich das Betriebssystem austricksen lässt. Über die Schwachstelle könne ein Laptop-Dieb, Passwörter ausschnüffeln, die im Webbrowser gespeichert sind oder in Programmen wie dem Instant-Messenger-Client.

“Es geht nicht um die Daten auf dem Computer, sondern um alles, was man in der Cloud gespeichert hat, also den Facebook-Account, den Google-Mail-Account und so weiter”, sagt Bursztein, der als Sicherheitsforscher im Stanford Security Laboratory arbeitet.

Um Passwörter zu entschlüsseln, veröffentlichten die vier Forscher ein Open-Source-Tool namens OWADE, was für Offline Windows Analyzer and Data Extractor steht. Das Tool läuft unter Ubuntu und kann Daten entschlüsseln, die von den vier großen Browsern – Internet Explorer, Firefox, Chrome und Safari – sowie Instant-Messaging-Anwendungen unter Windows stammen. Getestet wurde es bisher allerdings nur unter Ubuntu 10.10 und mit Windows-XP-Laufwerken.

OWADE nutzt mehrere Lücken in der Verschlüsselungsfunktion DPAPI aus, die Teil der Crypto-API ist. Entwicklern erlaubt sie, sensible Daten verschlüsselt zu speichern. Unter anderem sei die Zahl der möglichen Passwörter unter Windows ungewöhnlich gering, so die Forscher. Es gebe “lediglich” rund sieben Billionen Möglichkeiten, die sich vorausberechnen ließen.

Microsoft verweist auf Nachfrage von ZDNet auf die Laufwerksverschlüsselung Bitlocker, um sich vor dem Diebstahl von gespeicherten Passwörtern zu schützen. Bitlocker hatte Microsoft mit Windows Vista eingeführt. Das Feature ist aber nur für die Versionen Ultimate und Enterprise verfügbar.

Auch Bursztein hält dies für die einzige Möglichkeit. “Die Windows-Mechanismen zum Schutz von Daten können leicht umgangen werden. Wenn man nicht möchte, dass die eigenen Konten kompromittiert werden, ist die einzig wahre Alternative, die Festplatte zu verschlüsseln.”