Passwort-Manager LastPass erlaubt Phishing

Üeber eine Lücke im Passwortmanager LastPass sind Phishing-Angriffe möglich. Wie Der Sicherheitsforscher Sean Cassidy hat am Wochenende auf der Hackerkonferenz ShmooCon in Washington demonstriert hat. Nutzer lassen sich damit so täuschen, dass diese nicht nur das Masterpasswort für LastPass, sondern auch den Code für die Authentifizierung in zwei Schritten gegenüber einem speziell präparierten Server preisgeben, wie Motherboard berichtet.

Der Angreifer muss ein Opfer lediglich auf eine speziell gestaltete Website locken, die per JavaScript eine Benachrichtigung erzeugt. Über die Benachrichtigung wird dem Nutzer mitgeteilt, dass er nicht mehr bei LastPass angemeldet ist. Die Meldung entspricht der Originalnachricht von LastPass leitet diese aber zu einer gefälschten Anmeldeseite um. Gibt er dort sein Masterpasswort und den möglicherweise erforderlichen Code für die Zweischrittauthentifizierung an, werden die Informationen an einen Server des Angreifers übertragen. Der habe anschließend Zugriff auf die LastPass-API und könne darüber den vollständigen Passworttresor eines Nutzer herunterladen, so Motherboard weiter.

Der Grund dafür liege in einer Cross-Site-Request-Forgery-Lücke. Sie erlaube beliebigen Websites, dem Passwortmanager eine Logout-Benachrichtigung zu senden. LastPass habe er im November über die Schwachstelle informiert.

Inzwischen steht dem Bericht zufolge auch ein Patch zur Verfügung. Er soll verhindern, dass Nutzer durch das von Cassidy entwickelte Phishing-Tool abgemeldet werden. Zudem warnt LastPass Nutzer wenn diese das Masterpasswort in ein Webformular eingeben wollen, das nicht von LastPass stammt.

Cassidy bezeichnet den Fix jedoch in einem Blogeintrag als unzureichend. Da die Warnung genauso wie die Logout-Meldung über einen Browser angezeigt werde, könne eine von einem Angreifer kontrollierte Website die Warnung erkennen und leicht unterdrücken. “Wir als Branche reagieren nicht ausreichend auch Phishing-Angriffe”, schreibt Cassidy. “Meiner Ansicht nach sind sie so schlimm wie oder vielleicht sogar noch schlimmer als viele Remotecodeausführungen, weswegen sie auch wie solche behandelt werden sollten.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Lesen Sie auch : Der Feind aus dem Inneren
Redaktion

Recent Posts

KI als Pairing-Partner in der Software-Entwicklung

Pair Programming ist eine verbreitete Methode in der Softwareentwicklung mit vielen positiven Effekten, erklärt Daniel…

2 Tagen ago

Confare #ImpactChallenge 2024 – jetzt einreichen und nominieren

Mit der #ImpactChallenge holt die IT-Plattform Confare IT-Verantwortliche auf die Bühne, die einen besonderen Impact…

2 Tagen ago

Ransomware: Zahlen oder nicht zahlen?

Sollen Unternehmen mit den Ransomware-Angreifern verhandeln und das geforderte Lösegeld zahlen?

3 Tagen ago

KI-gestützter Cobot automatisiert Sichtprüfung

Die manuelle Qualitätsprüfung von Industrieprodukten ist ermüdend und strengt an.  Eine neue Fraunhofer-Lösung will Abhilfe…

3 Tagen ago

Digitalisierungsberufe: Bis 2027 fehlen 128.000 Fachkräfte

Studie des Instituts der deutschen Wirtschaft (IW) zeigt, in welchen Digitalisierungsberufen bis 2027 die meisten…

4 Tagen ago

Angriffe auf Automobilbranche nehmen zu

Digitalisierung und Vernetzung der Fahrzeuge, Elektromobilität und autonomes Fahren bieten zahlreiche Angriffspunkte.

4 Tagen ago