Passwort-Verwaltung LastPass leidet an Schwachstellen

Cloud

Erneut macht LastPass mit einem Sicherheitsleck Schlagzeilen; bereits im zurückliegenden Sommer hatte ein Google-Forscher potentiell folgenschwere Lecks entdeckt.

Sicherungsmaßnahmen in Passwortverwaltung LastPass lassen sich von Hackern umgehen. Das meldet der Google-Google-Forscher Tavis Ormandy, der jetzt zwei Lecks in in LastPass entdeckt hat. Ein erfolgreicher Angreifer kann damit sämtliche gespeicherten Kennwörter stehlen. Wie das Unternehmen mitteilt, wurde zumindest eine der beiden Anfälligkeiten bereits behoben.

Vor zwei Tagen hatte Ormandy via Twitter mitgeteilt: “Ups, neuer LastPass-Bug der Version 4.1.42 betrifft (Chrome und Firefox).” Bei Verwendung einer Binärkomponente sei es möglich, aus der Ferne Schadcode einzuschleusen und auszuführen. Ohne gebe die Lücke immerhin alle Passwörter preis.

LastPass (Grafik:LastPass)

In einem weiteren Tweet erklärte Ormandy, er habe einen voll funktionsfähigen Exploit entwickelt, der unter Windows ohne Interaktion mit einem Nutzer funktioniere. Wahrscheinlich funktioniere der Exploit auch unter Mac OS X und Linux. Der Exploit selbst bestehe nur aus zwei Zeilen JavaScript-Code.

Nachdem LastPass die Veröffentlichung eines Patches bestätigte, machte Ormandy alle Details der Lücke und auch den Beispielcode für einen Exploit über das Chromium-Projekt öffentlich. Demnach war es möglich, auf interne und privilegierte LastPass-RPC-Befehle zuzugreifen, darunter die Befehle für das Kopieren von Passwörtern oder das automatische Ausfüllen von Formularen.

Mehr zum Thema

WannaCry: Armutszeugnis für betroffene Unternehmen

WannaCry konnte sich vor allem deshalb so schnell verbreiten, weil IT-Verantwortliche in den betroffenen Unternehmen und Organisationen verfügbare Sicherheitspatches nicht installiert haben. Das offenbart ein bedenkliches Maß an fehlendem Sicherheitsbewusstsein

Gestern Abend meldete Ormandy per Twitter eine weitere Anfälligkeit, diesmal in LastPass 4.1.35 und früher. “Ich habe einen weiteren Bug gefunden, der das Stehlen von Passwörtern beliebiger Domains erlaubt.” Nur zwei Stunden später antwortete LastPass ebenfalls per Twitter: “Uns liegen Berichte über eine Anfälligkeit im Firefox-Add-on vor. Unsere Sicherheit ermittelt und arbeitet an einem Fix.” Da noch kein Patch existiert, sind auch keine weiteren Details zu der zweiten Schwachstelle bekannt.

Schon im Juli 2016 hatte Ormandy auf mehrere kritische Probleme in LastPass hingewiesen, die eine vollständige Kompromittierung der Anwendung aus der Ferne erlaubten. Zu dem Zeitpunkt fragte Ormandy “Gibt es wirklich Leute, die dieses LastPass-Ding benutzen.” Anfang 2016 kritisierte Ormandy auch Trend Micros Passwortmanager scharf: “Jeder im Internet kann vollkommen unbemerkt alle Passwörter stehlen und auch ohne Interaktion mit dem Nutzer beliebigen Code ausführen. Ich hoffe wirklich, dass Ihnen die Auswirkungen klar sind, weil mich das sehr erstaunt”, schrieb Ormandy an Trend Micro.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen