{"id":2865,"date":"2024-07-31T10:24:26","date_gmt":"2024-07-31T08:24:26","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=2865"},"modified":"2024-07-31T10:24:28","modified_gmt":"2024-07-31T08:24:28","slug":"offenlegung-von-zugangsdaten-in-lastpass","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/offenlegung-von-zugangsdaten-in-lastpass\/","title":{"rendered":"Offenlegung von Zugangsdaten in LastPass"},"content":{"rendered":"\n

LastPass war anf\u00e4llig f\u00fcr einen Clickjacking-Angriff. Durch das Abfangen des Datenverkehrs w\u00e4re ein Angreifer in der Lage gewesen, die Anmeldedaten von LastPass-Benutzern abzufangen. LastPass wies das Problem zur\u00fcck.<\/strong><\/p>\n\n\n\n

Im Oktober 2022 entdeckte Certitude ein Problem im Browser-Plugin f\u00fcr den LastPass-Passwortmanager. Wir analysierten die Sicherheitseigenschaften dieses Plugins, insbesondere analysierten wir, wie LastPass mit unverschl\u00fcsselten Verbindungen umgeht (d. h. http:\/\/<\/code>-Verbindungen). Wir fanden heraus, dass das LastPass-Browser-Plugin auf HTTPS-Websites automatisch Anmeldedaten eintr\u00e4gt. Wenn beispielsweise https:\/\/accounts.google.com<\/code> besucht wird, f\u00fcllt LastPass automatisch die Anmeldedaten f\u00fcr Google aus.<\/p>\n\n\n\n

Ein interessanter Fall ist, wenn der Benutzer auf eine unverschl\u00fcsselte Seite zugreift, d.h. http<\/strong>:\/\/accounts.google.com<\/code>. Da die Dom\u00e4ne mit der von Google \u00fcbereinstimmt, erkennt LastPass den Eintrag f\u00fcr die Anmeldedaten des Google-Kontos als denjenigen, der ausgef\u00fcllt werden muss. Da die Seite jedoch nicht verschl\u00fcsselt ist, weigert sich LastPass, die Kontodaten automatisch <\/strong>auszuf\u00fcllen.<\/p>\n\n\n\n

Dieses Verhalten ist z. B. erforderlich, da es unm\u00f6glich ist, zu \u00fcberpr\u00fcfen, ob Seiten, die \u00fcber unverschl\u00fcsselte Verbindungen bereitgestellt werden, legitim sind – jeder, der Ihren Datenverkehr abf\u00e4ngt, kann sich als http<\/strong>:\/\/accounts.google.com<\/code> ausgeben.<\/p>\n\n\n\n

LastPass bietet jedoch nach wie vor die M\u00f6glichkeit, das Ausf\u00fcllen der Anmeldedaten manuell vorzunehmen, d.h. der Benutzer kann die gespeicherten Anmeldedaten manuell in der LastPass-Benutzeroberfl\u00e4che ausw\u00e4hlen. Der Benutzer muss einfach auf das LastPass-Symbol klicken, das im Feld f\u00fcr den Benutzernamen oder das Kennwort angezeigt wird, woraufhin der folgende Dialog erscheint:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Wenn sich ein Angreifer als die unverschl\u00fcsselte Version von google.com ausgibt, um die Anmeldedaten zu sammeln, m\u00fcsste er den Benutzer dazu bringen, die gespeicherten Anmeldedaten in diesem Dialogfeld (rot hervorgehoben) manuell auszuw\u00e4hlen. Eine M\u00f6glichkeit, einen Benutzer dazu zu bringen, etwas zu tun, was er nicht beabsichtigt, ist Clickjacking.<\/p>\n\n\n\n

Clickjacking l\u00e4sst Elemente der Benutzeroberfl\u00e4che unsichtbar werden und bringt die Benutzer dann dazu, mit den so verborgenen Elementen der Benutzeroberfl\u00e4che zu interagieren. Wie sich herausstellt, kann der Kontoauswahldialog von LastPass versteckt werden und Clickjacking ist m\u00f6glich!<\/p>\n\n\n\n

Indem wir alles, was wir entdeckt haben, kombinieren, k\u00f6nnen wir ein Szenario kreieren, in dem ein Angreifer Google-Anmeldedaten in einem \u00f6ffentlichen WLAN abgreift:<\/p>\n\n\n\n

    \n
  1. Der Angreifer f\u00e4ngt den gesamten Datenverkehr im drahtlosen Netzwerk ab (z. B. durch ARP-Spoofing, DHCP-Spoofing usw.).<\/li>\n\n\n\n
  2. Wann immer der Angreifer eine unverschl\u00fcsselte HTTP-Anfrage erh\u00e4lt, antwortet er mit einer HTTP-Umleitung zu http:\/\/botprotect.google.com<\/code>, einer nicht existierenden Website.<\/li>\n\n\n\n
  3. Der Browser des Opfers folgt der Weiterleitung.<\/li>\n\n\n\n
  4. Der Angreifer liefert als Antwort auf diese Anfrage eine b\u00f6sartige Website.<\/li>\n\n\n\n
  5. Das LastPass-Plugin identifiziert http:\/\/botprotect.google.com<\/code> als Google-Website, f\u00fcllt die Anmeldedaten aber nicht automatisch aus.<\/li>\n\n\n\n
  6. Die b\u00f6sartige Seite zeigt ein gef\u00e4lschtes CAPTCHA:
    \"\"
    Der Benutzer wird aufgefordert, auf eine Reihe von roten Punkten zu klicken. In Wirklichkeit interagiert der Benutzer mit der LastPass-Benutzeroberfl\u00e4che, die unsichtbar gemacht wird. Der Benutzer \u00f6ffnet unbeabsichtigt den LastPass-Kontoauswahldialog und fordert LastPass auf, seine Google-Anmeldedaten auf der b\u00f6sartigen Website einzugeben.<\/li>\n\n\n\n
  7. Die b\u00f6sartige Website kann nun die Google-Anmeldedaten des Opfers an den Angreifer weiterleiten.<\/li>\n<\/ol>\n\n\n\n

    Responsible Disclosure<\/h2>\n\n\n\n

    Certitude meldete dieses Problem im Oktober 2022 \u00fcber das Bugcrowd-Programm von LastPass1<\/a><\/sup>. LastPass antwortete, dass nur Clickjacking-Meldungen akzeptiert werden, wenn ein Proof-of-Concept vorgelegt wird (dieser wurde mit der ersten Meldung vorgelegt). Nachdem klargestellt wurde, dass es sich bei der Schwachstelle nicht um eine typische Clickjacking-Schwachstelle handelt, die man auf einer Website finden w\u00fcrde, und auf den anf\u00e4nglichen Proof-of-Concept verwiesen wurde, erhielten wir keine Antwort.<\/p>\n\n\n\n

    Im M\u00e4rz 2023 reichten wir daselbe Advisory erneut ein. Nachdem wir einige R\u00fcckfragen gekl\u00e4rt hatten, lehnte LastPass die Schwachstelle mit dem Hinweis auf die damalige Bestimmung in den Programmbedingungen ab, die diese Art von Sicherheitsl\u00fccken ablehnt:<\/p>\n\n\n\n

    \n

    Attacks that rely on\/have as a prerequisite successfully placing a man in the middle between our servers and the client. We take precautions in order to make these attacks difficult or infeasible (e.g. using HTTPS exclusively), but some aspects are out of our control and thereby excluded from eligibility.<\/p>\nhttps:\/\/web.archive.org\/web\/20221201075948\/https:\/\/bugcrowd.com\/lastpass<\/a><\/cite><\/blockquote>\n\n\n\n

    Nach einer erneuten \u00dcberpr\u00fcfung der Schwachstelle stellte Certitude fest, dass diese Sicherheitsl\u00fccke inzwischen behoben worden ist. Certitude wurde nicht f\u00fcr die Identifizierung dieser Sicherheitsl\u00fccke anerkannt.<\/p>\n\n\n

    1. https:\/\/web.archive.org\/web\/20221201075948\/https:\/\/bugcrowd.com\/lastpass<\/a> \u21a9\ufe0e<\/a><\/li><\/ol>","protected":false},"excerpt":{"rendered":"

      LastPass war anf\u00e4llig f\u00fcr einen Clickjacking-Angriff. Durch das Abfangen des Datenverkehrs w\u00e4re ein Angreifer in der Lage gewesen, die Anmeldedaten von LastPass-Benutzern abzufangen. LastPass wies das Problem zur\u00fcck. Im Oktober 2022 entdeckte Certitude ein Problem im Browser-Plugin f\u00fcr den LastPass-Passwortmanager. Wir analysierten die Sicherheitseigenschaften dieses Plugins, insbesondere analysierten wir, wie LastPass mit unverschl\u00fcsselten Verbindungen umgeht […]<\/p>\n","protected":false},"author":4,"featured_media":2810,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":"[{\"content\":\"https:\/\/web.archive.org\/web\/20221201075948\/https:\/\/bugcrowd.com\/lastpass<\/a>\",\"id\":\"a5b0f733-32be-442a-acf6-066c1041f345\"}]"},"categories":[78,63],"tags":[574],"class_list":["post-2865","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-schwachstellen-research","category-technische-analyse","tag-lastpass-de"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2865","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=2865"}],"version-history":[{"count":2,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2865\/revisions"}],"predecessor-version":[{"id":2867,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2865\/revisions\/2867"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/2810"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=2865"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=2865"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=2865"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}