[Brisant] Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager

TinyTimm · 18.12.17, 13:08

Zitat:

Keeper-Nutzer sollten unbedingt die gepatchte Version installieren. Der aktuell in Windows 10 vorinstallierte Passwortmanager Keeper hatte bis Version 11.3 einen Fehler, der es bösartigen Webseiten ermöglichte, über Clickjacking beliebige Passwörter auszulesen.

Der Hacker Tavis Ormandy aus Googles Sicherheitsteam hat einen kritischen Fehler in Keeper gefunden. Der derzeit in Windows 10 vorinstallierte Passwortmanager Keeper hatte bis Version 11.3 eine Lücke, die es jeder besuchten Webseite ermöglichte, Passwörter aus dem eigentlich verschlüsselten Tresor zu stehlen.

Er habe Keeper zufällig auf einer neuen Windows-10-Installation gefunden, schreibt Ormandy. 16 Monate, nachdem er einen ähnlichen Bug in einer früheren Version desselben Passwortmanagers entdeckt hatte, schaute er erneut nach und fand ein fast identisches Verhalten vor. Beide Male exponierte Keeper beim Einfügen des vertrauenswürdigen User Interfaces des Managers in die Webseite eines Drittanbieters die gespeicherten Passwörter. In einem Proof-of-Concept zeigt Ormandy das Verhalten der verwundbaren Version.

Update auf Version 11.4.4 empfohlen

Betroffen sei dabei nicht der Passwortmanager selbst, sondern die dazugehörige Browsererweiterung KeeperFill. Diese ist für das automatische Einfügen von Zugangsdaten auf Webseiten mit Login zuständig und steht für Firefox, Chrome, Internet Explorer, Edge und Safari zur Verfügung. Der Hersteller Keeper Security hat am 15. Dezember die gepatchte Version 11.4.4 von KeeperFill bereitgestellt, die bei den meisten Browsern mit der automatischen Updatefunktion für Erweiterungen eingespielt werden sollte.

Nutzer von Keeper sollten dennoch sicherheitshalber überprüfen, ob in ihrem Browser die aktuellste Version der Erweiterung installiert ist.

Nutzer berichten, dass Microsoft offenbar bereits vor einiger Zeit begonnen habe, Keeper still und leise auf neuen Windows-10-Installationen ohne Rückfrage mitzuinstallieren. Wie es passieren konnte, dass eine solch kritisch fehlerhafte Anwendung eines Drittanbieters in Windows vorinstalliert wird, wollte Microsoft auf Nachfrage von Ars Technica nicht beantworten. Auch zu den Prüfkriterien für vorinstallierte Programme wollte sich das Unternehmen nicht äußern.

Seltsame Kommunikation

Seltsam mutet zudem die Kommunikation des Herstellers an. In einer Pressemitteilung spricht Keeper Security konsistent von einer "potenziellen Schwachstelle", so als wäre die Lücke nur möglicherweise oder für vereinzelte Nutzer relevant. Stattdessen betrifft der von Ormandy (zwei Mal) gefundene Fehler konkret und real alle Nutzer der Browser-Erweiterung. Zudem bleibt unklar, wie das Unternehmen zu der mit Sicherheit geäußerten Einschätzung gelangt, dass "kein Kunde von der potenziellen Schwachstelle negativ beeinflusst" worden sei.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Wornat1959 · 21.12.17, 18:54

Zitat:

Keeper verklagt Journalisten nach Bericht über Sicherheitslücke

Der Passwort-Manager Keeper verrät unter Umständen die Passwörter. Die Sicherheitslücke ist ähnlich schon 2016 aufgetreten. US-Journalist Dan Goodin berichtete, woraufhin Keeper ihn mit einer Klage eingedeckt hat.

Keeper Security verklagt den Journalisten Dan Goodin und den Verlag Condé Nast. Anlass ist ein Bericht Goodins über eine Sicherheitslücke: Die Webbrowser-Erweiterung des Passwort-Managers Keeper 11.3 ist verwundbar, Angreifer könnten darüber die Passwörter aus dem Manager auslesen. Auch heise security hat darüber berichtet. Besonders peinlich: Keeper hatte einen ähnlichen Fehler bereits voriges Jahr in seine Software eingebaut.

Die Berichterstattung Goodins auf Condé Nasts Website Ars Technica stört Keeper offenbar enorm. Die Firma behauptet in ihrer Klage, Journalist und Verlag hätten sie absichtlich schädigen wollen: "Ziel und Ergebnis des Artikels waren, Keeper und seine Mitarbeiter zu schädigen und Keeper Produkte schlecht zu machen." Die Klägerin verlangt Schadenersatz für üble Nachrede (Defamation) und Geschäftsschädigung (Commercial Disparagement) nach dem Recht des US-Bundesstaates Illinois.

Microsoft entfernte Keeper aus Windows 10

Die aktuelle Sicherheitslücke hat der Google-Mitarbeiter Tavis Ormandy gefunden. Er hatte Windows 10 aus dem Microsoft Developer Network (MSDN) heruntergeladen und installiert. Dabei bemerkte er, dass der Passwort-Manager "Keeper Password & Data Vault" ungefragt mitinstalliert wurde. Dessen Setup-Routine sah dann die Installation der Browser-Erweiterung vor. Mit Hilfe dieser Erweiterung hätte eine böswillige Webseite die Passwörter aus dem Passwort-Manager auslesen können.

I don't want to hear about how even a password manager with a trivial remote root that shares all your passwords with every website is better than nothing. People really tell me this. ὤ4
— Tavis Ormandy (@taviso) December 15, 2017

Ormandy informierte Keeper, das mit einem Update auf Version 11.4.4 reagierte. Ormandy glaubt, dass damit die anfällige Funktion einfach deaktiviert wird. Microsoft stoppte die Bündelung Keepers mit den einschlägigen Windows-10-Versionen.

Keeper meint, Passwort-Manager und Browser-Erweiterung seien getrennt zu betrachten. Daher sei Goodins Bericht, dass die anfällige Software in bestimmten Versionen von Windows 10 enthalten war, falsch. Denn die Sicherheitslücke tritt erst nach Setup samt Installation der Browser-Erweiterung, Anlegen eines Keeper-Kontos und Speicherung von Passwörtern auf.

Keeper drohte schon anderen Forschern mit Klage

Keeper ist offenbar leicht zu entmutigen: 2013 hat das Unternehmen der IT-Sicherheitsfirma Fox-IT mit einer Klage gedroht. Fox-IT hatte das Unfassbare entdeckt: Die damalige Keeper-Version 5.3 für iOS speicherte die Passwörter schlicht unverschlüsselt. Anstatt mit den Sicherheitsexperten Fox-ITs zu kooperieren, schaltete Keeper die Rechtsabteilung ein, die mit einer Klagedrohung jegliche Veröffentlichung unterbinden wollte.

Vergangenes Jahr hat das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in einer Untersuchung zwei mittelschwere Schwachstellen in Keepers Android-App gefunden. Demnach war es Angreifern sowohl möglich, die vor einer Änderung des Master-Passworts gestellte Sicherheitsfrage zurückzusetzen, als auch unbefugt Daten in den Passwortmanager einzufügen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]