Schwachstelle in Citrix Workspace App for Windows ermöglicht Passwort-Klau

[English]Der Hersteller Citrix warnt seit September 2022 vor einiger Schwachstelle in seiner Citrx Workspace App. Es gibt Berichte, dass sich Citrix SSON gespeicherte Passwörter im Prozessspeicher auf Benutzerebene mit abrufen lassen. In der Aktualisierung vom 2. Dezember 2022 werden Updates zum Schließen der Schwachstelle angeboten. Es sieht aber so aus, als ob die Informationen bei Administratorkonten nach wie vor erreichbar sind.

Ich bin über nachfolgenden Tweet auf diesen Sachverhalt gestoßen, den Citirx im Support-Beitrag Impact of Citrix SSO storing sensitive information in user-level process memory offen legt.

Citrix sind wohl Berichte auf Twitter untergekommen, in denen behauptet wird, dass Benutzer über ein neues Mimikatz-Modul in der Lage seien, die in Citrix SSON gespeicherten Passwörter im Prozessspeicher auf Benutzerebene abzurufen. Nach einer Analyse schränkt der Hersteller ein, dass diese Schwachstelle wohl nur in der  Citrix Workspace-App für Windows besteht, wenn dort die SSON (SIngle Sign On) auf einem in der Domäne registrierten Gerät aktiviert wurde.

Citrix hat aktualisierte Versionen der Citrix Workspace App für Windows mit Korrekturen veröffentlicht, die Standardbenutzer vor dem Diebstahl von Kennwörtern aus dem Prozessspeicher auf Benutzerebene ohne Administratorrechte schützen.

• CWA 2210.5: Citrix Workspace app 2210.5 for Windows
• CWA 2203 LTSR CU2: Citrix Workspace app 22.03.2000 for Windows, LTSR Cumulative Update 2
• CWA 1912 LTSR CU7 Hotfix: Hotfix – Citrix Workspace app for Windows 1912 LTSR CU7 Hotfix 2 (19.12.7002) – English

Citrix empfiehlt seinen Kunden außerdem, die Verwendung von Windows AppLocker in Erwägung zu ziehen und/oder nur vertrauenswürdige Software auf ihren Systemen auszuführen, um ein mögliches Risiko zu verringern.

Benjamin Delpy weist in diesem Tweet darauf hin, dass ein Administrator immer noch alle Passwörter mit der aktuellen Mimikatz-Version abrufen kann.