Martin Vigo, Sicherheitsforscher bei Salesforce.com, hat eine Schwachstelle in der Zwei-Faktor-Authentifizierung (2FA) von LastPass entdeckt. Der Passwortmanager nutzt demnach bei der Einrichtung der Sicherheitsfunktion einen Hash des Nutzerpassworts, um den für die Aktivierung von 2FA benötigten QR-Code zu generieren. LastPass hat die Schwachstelle nach eigenen Angaben inzwischen beseitigt.
In Kombination mit einem Cross-Site-Request-Forgery-Angriff (CSRF) gelang es dem Forscher zudem, die Anmeldeeinschränkungen des 2FA-Verfahrens auszuhebeln. „Man sollte darauf hinweisen, dass ein Angreifer sein Opfer nicht zum Besuch seiner manipulierten Website verleiten muss. Jede XSS-Lücke in Websites, denen das Opfer vertraut, kann der Angreifer benutzen, um den QR-Code zu stehlen und an seinen Server zu schicken.“
Darüber hinaus fand Vigo eine noch einfachere Möglichkeit, um die Zwei-Faktor-Authentifizierung von LastPass zu deaktivieren. Das ist ihm zufolge über ein Sicherheitsloch möglich, das per GET-Anfrage das 2FA-Geheimnis regeneriert.
Mit dem jüngsten Update hat LastPass eine Prüfung für den Ursprung einer QR-Code Anfrage eingefügt. Außerdem wird der QR-Code nun nicht mehr aus einem Hash des Passworts, sondern aus einem salted Hash generiert, der auf der User-ID basiert. Ein CSRF-Token soll ebenfalls verhindern, dass sich die 2FA-Funktion abschalten lässt. Darüber hinaus sucht LastPass nach eigenen Angaben nun aktiv nach weiteren CSRF-Lücken.
In seinem Blog weist das Unternehmen jedoch darauf hin, dass sich die von Vigo entdeckten Anfälligkeiten nur unter bestimmten Umständen ausnutzen lassen. „Ein Angreifer müsste mehrere Schritte befolgen, um Google Authenticator zu umgehen. Zuerst müsste er einen Nutzer auf eine gefährliche Website locken. Zweitens müsste der Nutzer zum Zeitpunkt des Besuchs bei LastPass angemeldet sein. Diese Kombination von Faktoren verringert die Wahrscheinlichkeit, dass ein Nutzer betroffen sein könnte.“
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Chris Duckett, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…