Passwortmanager und andere kritische Anwendungen weisen neue Sicherheitslücken auf
In der heutigen digitalen Welt, in der Sicherheit und Datenschutz an erster Stelle stehen, sind Nachrichten über Sicherheitslücken in Software von größter Bedeutung, insbesondere wenn es um die Sicherheit aller Passwörter für Ihre digitale Vorsorge geht. Kürzlich berichteten das BSI und www.secuvera.de über eine schwerwiegende Sicherheitslücke, die in zahlreichen kritischen Anwendungen entdeckt wurde. Diese Lücke betrifft die Art und Weise, wie Passwörter im Prozessspeicher von Programmen behandelt werden und könnte schwerwiegende Folgen haben. Offiziell wird die Schwachstelle unter CWE-316 gelistet.
Die Problematik ist klar: Klartextpasswörter im Speicher!
Eine der grundlegendsten Sicherheitsregeln im Umgang mit Passwörtern lautet: Diese dürfen niemals im Klartext gespeichert oder verarbeitet werden. Das heißt: Passwörter müssen in der Regel verschlüsselt oder zumindest in einer sicheren, nicht lesbaren Form gespeichert werden. Nur so können sie im Falle eines Angriffs nicht sofort preisgegeben werden. Die aktuelle Sicherheitslücke betrifft genau diesen sensiblen Bereich.
Einige Anwendungen speichern Passwörter im Klartext in ihrem Prozessspeicher ab. Der Prozessspeicher ist ein temporärer Speicherbereich, in dem Programme Daten während ihrer Ausführung zwischenspeichern. Dieser Speicher ist normalerweise nur für das Betriebssystem und die entsprechende Anwendung zugänglich. Ein Angreifer, der sich Zugriff auf das System verschafft hat, kann ihn jedoch auslesen und somit Klartextpasswörter extrahieren.
Mögliche Auswirkungen
Die potenziellen Auswirkungen dieser Sicherheitslücke sind erheblich. Angreifer könnten durch das Auslesen des Prozessspeichers Zugang zu sensiblen Informationen erhalten, darunter Benutzerkonten, Unternehmensgeheimnisse oder sogar Zugangsdaten zu kritischen Infrastrukturen. Besonders besorgniserregend ist dies in Umgebungen, in denen Hochsicherheitsanwendungen betrieben werden, wie etwa in Banken, in der Regierung oder in der Gesundheitsbranche.
Die Entdeckung, dass Passwörter in vielen Anwendungen im Klartext gespeichert werden, wirft zudem grundlegende Fragen zur Sicherheitspraxis und -kultur bei der Entwicklung von Software auf. Entwicklern sollte bewusst sein, dass selbst temporäre Speicherung von Klartextpasswörtern ein erhebliches Risiko darstellt, das es um jeden Preis zu vermeiden gilt.
Untersuchung und Erkenntnis
Eine von Secuvera durchgeführte Studie zu Passwortspeichern zeigt auf erschreckende Weise, wie unsicher die Verarbeitung von Passwörtern ist. Die Untersuchung hat eindeutig gezeigt, dass selbst spezialisierte Passwort-Manager, die eigentlich dazu dienen, Passwörter sicher zu verwalten, teilweise Passwörter im Klartext im Speicher ablegen. Diese Programme wurden speziell dafür entwickelt, die Sicherheit von Passwörtern zu gewährleisten. Dass sie dieses Ziel nun verfehlen, ist ein erhebliches Risiko.
Die Studie beweist: Das Problem ist nicht auf einzelne Anwendungen beschränkt, sondern eine weit verbreitete Schwachstelle in der Softwarelandschaft. Besonders alarmierend ist, dass selbst Programme, die für ihre Sicherheitsfunktionalität bekannt sind, anfällig für solche Schwächen sind. Die Tests haben eindeutig gezeigt, dass mehrere Passwort-Manager Passwörter im Klartext speichern, während sie im Speicher vorgehalten werden. Damit wollen sie den Benutzerkomfort erhöhen. Diese Praxis macht es einem Angreifer im Falle eines Angriffs auf das System leicht, auf die gespeicherten Passwörter zuzugreifen.
Empfehlungen für Entwickler und Nutzer
Entwickler müssen jetzt umso mehr darauf achten, dass ihre Anwendungen keine Sicherheitslücken aufweisen. Insbesondere darf es nicht möglich sein, Passwörter im Klartext zu verarbeiten oder zu speichern. Entwickler müssen folgende bewährte Praktiken unbedingt beachten:
Verwendung sicherer Speichertechniken: Passwörter müssen stets sicher verschlüsselt gespeichert werden.
Sensible Daten müssen unverzüglich gelöscht werden. Daten wie Passwörter müssen nach ihrer Verwendung sofort aus dem Speicher gelöscht werden, um die Angriffsfläche zu minimieren.
Verwendung von Zero-Knowledge-Architekturen: Insbesondere bei Passwort-Managern müssen Architekturen verwendet werden, bei denen selbst der Anbieter keinen Zugriff auf die unverschlüsselten Passwörter hat.
Es müssen regelmäßige Sicherheitsaudits durchgeführt werden. Anwendungen müssen regelmäßig auf Sicherheitslücken überprüft werden, um sicherzustellen, dass sie den neuesten Sicherheitsstandards entsprechen.
Für Endnutzer bedeutet dies, dass sie besonders vorsichtig mit den Anwendungen sein müssen, die sie verwenden, insbesondere wenn diese Anwendungen mit sensiblen Informationen umgehen.
Welche Anwendungen waren betroffen
- OpenVPN
- HeyLogin
- PureKeep
- 1password
- Bitwarden
Es ist möglich, dass andere Kennwortmanagern ebenso betroffen sind. Secuvera hat nur eine Handvoll getestet.
Fazit:
Wieder eine Schwachstelle in Passwortmanagern. Nicht die erste und auch nicht die letzte. Wir sind nach wie vor der Meinung, dass es heutzutage sinnvoll ist, an bewährten Prinzipien festzuhalten:
Um Zugang zu etwas zu erhalten, sind zwei Dinge von großem Wert:
- Etwas besitzen
- Etwas wissen
Beispiel: EC-Karte (besitzen) und PIN (kennen) oder USB-Stick und Master-Passwort. Beides muss getrennt sein. Es hilft nicht, die PIN auf die EC-Karte zu schreiben. Das führt zu Schwachstellen, wie im obigen Fall.
Bitte achten Sie auf Ihre Sicherheit und denken Sie an Ihre digitale Vorsorge.