LastPass: Lücke erlaubt Erbeutung des Master-Passworts

(Bild: Lastpass)

Der Online-Passwortmanager LastPass hat eine Phishing-Lücke. Diese wurde auf der auf der Hackerkonferenz ShmooCon von Sicherheitsforscher Sean Cassidy demonstriert. Der Nutzer wird bei dieser Lücke dazu gebracht, in ein fremdes Formular sein Masterkennwort einzugeben.

Die Nutzer des Online-Passwortmanagers LastPass können mit einem recht simplen Trick überlistet werden, so dass sie ihr Masterkennwort in einem fremden Server eintippen. Der Angreifer hat dann Zugriff auf alle Kennwörter, berichtet die Website Motherboard.

Ein Angreifer muss sein Opfer lediglich auf eine speziell gestaltete Website locken, die per JavaScript eine Benachrichtigung erzeugt, wonach der Nutzer nicht mehr bei LastPass angemeldet ist. Die Meldung, die der Originalnachricht von LastPass entspricht, leitet das Opfer jedoch zu einer gefälschten Anmeldeseite um. Gibt er dort sein Masterpasswort und den möglicherweise erforderlichen Code für die Zweischrittauthentifizierung an, werden die Informationen an einen Server des Angreifers übertragen. Der habe anschließend Zugriff auf die LastPass-API und könne darüber den vollständigen Passworttresor eines Nutzer herunterladen, so Motherboard weiter.

Auslöser ist dem Forscher zufolge eine Cross-Site-Request-Forgery-Lücke. Sie erlaube es beliebigen Websites, dem Passwortmanager eine Logout-Benachrichtigung zu senden. LastPass habe er im November über die Schwachstelle informiert.

Inzwischen steht dem Bericht zufolge auch ein Patch zur Verfügung. Er soll verhindern, dass Nutzer durch das von Cassidy entwickelte Phishing-Tool abgemeldet werden. Zudem warnt LastPass nun seine Nutzer, wenn sie ihr Masterpasswort in ein Webformular eingeben sollen, das nicht von LastPass stammt.

Cassidy bezeichnet den Fix jedoch in einem Blogeintrag als unzureichend. Da die Warnung genauso wie die Logout-Meldung über einen Browser angezeigt werde, könne eine von einem Angreifer kontrollierte Website die Warnung erkennen und leicht unterdrücken. „Wir als Branche reagieren nicht ausreichend auch Phishing-Angriffe“, schreibt Cassidy. „Meiner Ansicht nach sind sie so schlimm wie oder vielleicht sogar noch schlimmer als viele Remotecodeausführungen, weswegen sie auch wie solche behandeltD werden sollten.“

Tags :Quellen:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising