Phishing-Lücke in Passwort-Manager LastPass entdeckt

Der Sicherheitsforscher Sean Cassidy hat am Wochenende auf der Hackerkonferenz ShmooCon in Washington eine Phishing-Lücke im Passwortmanager LastPass demonstriert. Demnach ist es möglich, Nutzer so zu täuschen, dass sie nicht nur ihr Masterpasswort für LastPass, sondern auch den Code für die Authentifizierung in zwei Schritten gegenüber einem speziell präparierten Server preisgeben, wie Motherboard berichtet.

Ein Angreifer muss sein Opfer lediglich auf eine speziell gestaltete Website locken, die per JavaScript eine Benachrichtigung erzeugt, wonach der Nutzer nicht mehr bei LastPass angemeldet ist. Die Meldung, die der Originalnachricht von LastPass entspricht, leitet das Opfer jedoch zu einer gefälschten Anmeldeseite um. Gibt er dort sein Masterpasswort und den möglicherweise erforderlichen Code für die Zweischrittauthentifizierung an, werden die Informationen an einen Server des Angreifers übertragen. Der habe anschließend Zugriff auf die LastPass-API und könne darüber den vollständigen Passworttresor eines Nutzer herunterladen, so Motherboard weiter.

Auslöser ist dem Forscher zufolge eine Cross-Site-Request-Forgery-Lücke. Sie erlaube es beliebigen Websites, dem Passwortmanager eine Logout-Benachrichtigung zu senden. LastPass habe er im November über die Schwachstelle informiert.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Inzwischen steht dem Bericht zufolge auch ein Patch zur Verfügung. Er soll verhindern, dass Nutzer durch das von Cassidy entwickelte Phishing-Tool abgemeldet werden. Zudem warnt LastPass nun seine Nutzer, wenn sie ihr Masterpasswort in ein Webformular eingeben sollen, das nicht von LastPass stammt.

Cassidy bezeichnet den Fix jedoch in einem Blogeintrag als unzureichend. Da die Warnung genauso wie die Logout-Meldung über einen Browser angezeigt werde, könne eine von einem Angreifer kontrollierte Website die Warnung erkennen und leicht unterdrücken. „Wir als Branche reagieren nicht ausreichend auch Phishing-Angriffe“, schreibt Cassidy. „Meiner Ansicht nach sind sie so schlimm wie oder vielleicht sogar noch schlimmer als viele Remotecodeausführungen, weswegen sie auch wie solche behandelt werden sollten.“

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

13 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

17 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

17 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

18 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

18 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

20 Stunden ago