Martin Vigo, Sicherheitsforscher bei Salesforce.com, hat eine Schwachstelle in der Zwei-Faktor-Authentifizierung (2FA) von LastPass entdeckt. Der Passwortmanager nutzt demnach bei der Einrichtung der Sicherheitsfunktion einen Hash des Nutzerpassworts, um den für die Aktivierung von 2FA benötigten QR-Code zu generieren. LastPass hat die Schwachstelle nach eigenen Angaben inzwischen beseitigt.
In Kombination mit einem Cross-Site-Request-Forgery-Angriff (CSRF) gelang es dem Forscher zudem, die Anmeldeeinschränkungen des 2FA-Verfahrens auszuhebeln. „Man sollte darauf hinweisen, dass ein Angreifer sein Opfer nicht zum Besuch seiner manipulierten Website verleiten muss. Jede XSS-Lücke in Websites, denen das Opfer vertraut, kann der Angreifer benutzen, um den QR-Code zu stehlen und an seinen Server zu schicken.“
Darüber hinaus fand Vigo eine noch einfachere Möglichkeit, um die Zwei-Faktor-Authentifizierung von LastPass zu deaktivieren. Das ist ihm zufolge über ein Sicherheitsloch möglich, das per GET-Anfrage das 2FA-Geheimnis regeneriert.
Mit dem jüngsten Update hat LastPass eine Prüfung für den Ursprung einer QR-Code Anfrage eingefügt. Außerdem wird der QR-Code nun nicht mehr aus einem Hash des Passworts, sondern aus einem salted Hash generiert, der auf der User-ID basiert. Ein CSRF-Token soll ebenfalls verhindern, dass sich die 2FA-Funktion abschalten lässt. Darüber hinaus sucht LastPass nach eigenen Angaben nun aktiv nach weiteren CSRF-Lücken.
In seinem Blog weist das Unternehmen jedoch darauf hin, dass sich die von Vigo entdeckten Anfälligkeiten nur unter bestimmten Umständen ausnutzen lassen. „Ein Angreifer müsste mehrere Schritte befolgen, um Google Authenticator zu umgehen. Zuerst müsste er einen Nutzer auf eine gefährliche Website locken. Zweitens müsste der Nutzer zum Zeitpunkt des Besuchs bei LastPass angemeldet sein. Diese Kombination von Faktoren verringert die Wahrscheinlichkeit, dass ein Nutzer betroffen sein könnte.“
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.