Sicherheitsforscher knackt Zwei-Faktor-Authentifizierung von LastPass

Martin Vigo, Sicherheitsforscher bei Salesforce.com, hat eine Schwachstelle in der Zwei-Faktor-Authentifizierung (2FA) von LastPass entdeckt. Der Passwortmanager nutzt demnach bei der Einrichtung der Sicherheitsfunktion einen Hash des Nutzerpassworts, um den für die Aktivierung von 2FA benötigten QR-Code zu generieren. LastPass hat die Schwachstelle nach eigenen Angaben inzwischen beseitigt.

„LastPass speichert das 2FA-Geheimnis in einer URL, die vom Passwort abgeleitet werden kann“, beschreibt Vigo den Fehler in seinem Blog. „Das widerspricht dem gesamten Zweck der Anmeldung in zwei Schritten, die eine zusätzliche Sicherheitsschicht sein soll, um Anmeldeversuche von Angreifern abzuwehren, die bereits im Besitz des Passworts sind. Stellen Sie sich vor, sie haben einen Safe in ihrem Haus in dem sie ihren wertvollsten Besitz aufbewahren. Glauben Sie es ist eine gute Idee, dasselbe Schloss für die Haustür und den Safe zu haben? Sollte der Türschlüssel auch den Safe öffnen?“

In Kombination mit einem Cross-Site-Request-Forgery-Angriff (CSRF) gelang es dem Forscher zudem, die Anmeldeeinschränkungen des 2FA-Verfahrens auszuhebeln. „Man sollte darauf hinweisen, dass ein Angreifer sein Opfer nicht zum Besuch seiner manipulierten Website verleiten muss. Jede XSS-Lücke in Websites, denen das Opfer vertraut, kann der Angreifer benutzen, um den QR-Code zu stehlen und an seinen Server zu schicken.“

Darüber hinaus fand Vigo eine noch einfachere Möglichkeit, um die Zwei-Faktor-Authentifizierung von LastPass zu deaktivieren. Das ist ihm zufolge über ein Sicherheitsloch möglich, das per GET-Anfrage das 2FA-Geheimnis regeneriert.

Mit dem jüngsten Update hat LastPass eine Prüfung für den Ursprung einer QR-Code Anfrage eingefügt. Außerdem wird der QR-Code nun nicht mehr aus einem Hash des Passworts, sondern aus einem salted Hash generiert, der auf der User-ID basiert. Ein CSRF-Token soll ebenfalls verhindern, dass sich die 2FA-Funktion abschalten lässt. Darüber hinaus sucht LastPass nach eigenen Angaben nun aktiv nach weiteren CSRF-Lücken.

In seinem Blog weist das Unternehmen jedoch darauf hin, dass sich die von Vigo entdeckten Anfälligkeiten nur unter bestimmten Umständen ausnutzen lassen. „Ein Angreifer müsste mehrere Schritte befolgen, um Google Authenticator zu umgehen. Zuerst müsste er einen Nutzer auf eine gefährliche Website locken. Zweitens müsste der Nutzer zum Zeitpunkt des Besuchs bei LastPass angemeldet sein. Diese Kombination von Faktoren verringert die Wahrscheinlichkeit, dass ein Nutzer betroffen sein könnte.“

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago