[English]Nutzer des Passwort-Managers Bitwarden laufen in das Risiko, dass die Auto-Fill-Funktion beim Besuch von Webseiten Anmeldeinformationen leckt. Bösartige Webseiten könnten über ein in vertrauenswürdigen Seiten eingebettetes IFRAME Anmeldeinformation stehlen und an einen Angreifer senden.
Anzeige
Bitwarden ist ein Freemium-Open-Source-Passwortverwaltungsdienst, der vertrauliche Informationen wie Website-Anmeldeinformationen in einem verschlüsselten Tresor speichert. Inzwischen gibt es aber eine heftige Diskussion über die Browser-Plugins dieses Dienst und deren Sicherheit gegen Passwort-Klau.
FlashPoint zu Bitwarden Passwort-Sicherheit
Angestoßen wurde das Ganze von Sicherheitsforschern des Sicherheitsanbieters FlashPoint, die im Beitrag Bitwarden: The Curious (Use-)Case of Password Pilfering auf ein Problem beim Open Source Bitwarden-Passwortmanager hinweisen. Ich habe mal aus den zahllosen Meldungen der letzten Stunden nachfolgenden Tweet als Erstquelle herausgegriffen.
Das Bitwarden AutoFill-Problem
Die Sicherheitsforscher von FlashPoint haben sich das Verhalten des Bitwarden (Browser-Erweiterung für Passwort-Manager) genauer angesehen und sind auf ein potentielles Problem gestoßen. Eingebettete Iframes in einer Webseite werden von Bitwarden auf untypische Weise behandelt. Mit iframes kann man den Inhalt einer fremden Webseite (z.B. Kreditkartendaten) in einer Webseite einbetten – das ist hinlänglich bekannt.
Anzeige
Der Browser sollte den Kontext dieser eingebetteten iframe-Fremdseite von der übergeordneten Seite trennen. Das lässt sich über die Same-origin-Policy steuern. Ist diese aktiv, wird die per iframe eingebettete Seite von der übergeordneten Seite isoliert und kann nicht auf deren Inhalte zugreifen (siehe folgende Abbildung).
Same-Origin-Policy-Verhalten, Quelle: FlashPoint
Die Policy gilt als ein wichtiges Sicherheitskonzept und ist in allen wichtigen Browsern implementiert. Dadurch wird verhindert, dass eingebettete Webseiten kritische Informationen aus einer übergeordneten Seite abrufen können.
Die Bitwarden-Browsererweiterung kann Nutzern anbieten, für eine bekannte Webseite gespeicherte Anmeldedaten für eine Anmeldung per Auto-Fill einzutragen. Ist die Bitwarden-Option "Automatisches Ausfüllen beim Laden der Seite" aktiviert, geschieht dieses Autoausfüllen ohne Benutzerinteraktion.
Das Problem: Die Bitwarden-Browsererweiterung verwendet die Auto-Fill-Funktion auch auf Seiten, in denen Fremdinhalte aus anderen Domains per iframe eingebettet sind. Die per iframe eingebettete Webseite hat zwar keinen Zugriff auf den Inhalt der übergeordneten Seite. Aber die Seite kann auf die Eingabe in das Anmeldeformular warten und die eingegebenen Anmeldedaten ohne weitere Benutzerinteraktion an einen Remote-Server weiterleiten, schreiben die Sicherheitsforscher.
Die Bitwarden-Dokumentation enthält zwar eine Warnung, die besagt, dass "kompromittierte oder nicht vertrauenswürdige Websites" dies ausnutzen könnten, um Anmeldedaten zu stehlen. Die Sicherheitsforscher gebe an, dass eine Erweiterung kaum etwas tun kann, um das Stehlen von Anmeldeinformationen zu verhindern, wenn die Website selbst kompromittiert ist.
Allerdings gibt es reguläre (nicht kompromittierte) Websites, die aus verschiedenen Gründen, z. B. für Werbung, externe iframes einbetten. Das bedeutet, dass ein Angreifer nicht unbedingt die Website selbst kompromittieren muss – er muss lediglich die Kontrolle über den Inhalt des iframes haben. Es wurden dann stichprobenartig einige prominente Websites überprüft, um festzustellen, ob auf der Anmeldeseite ein Iframe eingebettet ist. Es wurden nur wenige zutreffende Fälle gefundenen, was das potenzielle Risiko verringert.
2. Sicherheitslücke bei Subdomains
Bei der Erstellung eines Proof-of-Concept zum Ausnutzen der Schwachstelle stießen die Sicherheitsforscher auf ein weitere Schwachstelle CVE-2023-27974 in der Bitwarden-Erweiterung. Diese steckt im Verhalten bezüglich des Standard-URI-Abgleichs – eine Einstellung, die festlegt, wie die Browsererweiterung das automatische Ausfüllen von Logins anbieten soll.
Standardmäßig ist die Einstellung auf "Basisdomäne" eingestellt. Das bedeutet, dass die Bitwarden-Erweiterung die Auto-Fill-Funktionalität auf jeder Seite anbietet, auf der die Basisdomäne, d. h. die Top-Level- und Second-Level-Domäne, übereinstimmt. Das ist aber ein Problem, wenn Subdomains verwendet werden.
Betreibt ein Unternehmen beispielsweise eine Anmeldeseite unter logins.company.tld, und gibt es eine weitere Seite <Kundenname>.firma.tld, können diese Benutzer Anmeldedaten von den Bitwarden-Erweiterungen stehlen. Die Sicherheitsforscher beschreiben in ihrem Blog-Beitrag mehrere Szenarien, in denen Angreifer Zugriff auf gespeicherte Anmeldeinformationen für Webseiten erhalten.
Als die Forscher Bitwarden mit den Erkenntnissen konfrontierten, kam eine überraschende Antwort. Der Anbieter scheint sich seit vielen Jahren dieses Problems bewusst zu sein. Bitwarden verwies die Sicherheitsforscher in der Antwort auf den Security Assessment Report (PDF, siehe auch diese Bitwarden-Seite) vom 8. November 2018, in dem die Schwachstelle in Bezug auf die Behandlung von iframes beschrieben wird (BWN-01-001). Das bedeutet, dass diese Sicherheitslücke seit über vier Jahren als dokumentiert und öffentlich bekannt gilt!
Auf Grund der unbefriedigenden Antwort hat Flashpoint zwei Beispiele erstellt und Bitwarden bereitgestellt, die demonstrieren, wie die Schwachstelle zum Klau der Anmeldedaten genutzt werden kann. In der Antwort von Bitwarden wurde ein Anwendungsfall genannt, warum iframes auf diese Weise behandelt werden müssen. Es müsste sich um den gegenüber Bleeping Computer genannten Anwendungsfall handeln: "Bitwarden akzeptiert das automatische Ausfüllen von iframe, weil viele populäre Websites dieses Modell verwenden, z. B. icloud.com verwendet einen iframe von apple.com".
Bitwarden plant jedoch, laut FlashPoint, die gemeldete Hosting-Umgebung von der Auto-Fill-Funktionalität auszuschließen. Nicht korrigiert wird aber die allgemeine iframe-Funktionalität. Eine kurze Recherche der FlashPoint-Forscher bei ähnlichen Dienstanbietern zeigte,dass diese kein Auto-Fill verwenden und ggf. eine Warnung anzeigen, wenn die Gefahr besteht, dass Daten über iframes abfließen. Das Problem scheint derzeit nur beim Bitwarden-Produkt zu existieren.
Die FlashPoint-Sicherheitsforscher empfehlen Bitwarden-Nutzern die Funktion "Automatisches Ausfüllen beim Laden einer Seite" zu deaktivieren und die Einstellung "Standard-URI-Übereinstimmungserkennung" auf "Host" oder "Exakt" zu setzen. Dadurch wird die Ausnutzung der Schwachstelle über Subdomains bei Hosting-Providern verringert. Es ist zu beachten, dass die Offenlegung von Anmeldeinformationen nicht verhindert wird, wenn eine Webanwendung potenziell von Angreifern kontrollierte Iframes in eine Anmeldeseite einbettet.
Das Ganze bekommt eine besondere Bedeutung, wenn man diesen heise-Artikel kennt. Anlässlich des LastPass-Einbruchs behauptete ein Nutzer, Anmeldedaten unter Bitwarden abgegriffen zu haben.
Anzeige
Falls jemand ein Beispiel für einen vermutlich bösartigen JS-Code sucht:
*ttps://715.portlaboff.live
Der Code ist aber vermutlich mit dem Githup "Javascript Obfuscator" verschleiert.
PS: Die angegeben URL ist nicht mehr erreichbar, sondern nur ab 7. März ca. 15 Uhr. Diese Infos könnten aber reichen um die aktuelle Version zu finden.
Die Passowortmanager machen mir zunehmend Sorgen. Fehler können ja passieren. Wenn jedoch Fehler bzw. Sicherheitslücken bereits seit Jahren bekannt sind, sollte doch irgendwann reagiert werden.
Ich persönlich kann von AutoFill-Funktionen nicht negativ betroffen sein, weil ich den Sinn dieser AutoFill-Funktionen nicht so ganz durchschaut habe und somit die AutoFill-Funktionen nie genutzt habe.
Ich mache mir trotzdem Sorgen.
Wenn ich über den Browser ein Passwort eingebe, wird dieses Passwort im Browser-Cache gespeichert. Wenn ja, kann eine "böse" Webseite den Cache auslesen?
Das ist doch echt ein alter Hut! Wundert mich, dass sowas 2023 wieder hochkocht. Und auch noch bei einem spezialisierten Tool wie Bitwarden.
Artikel von Januar 2018:
https://www.heise.de/security/meldung/Tracking-Skripte-klauen-E-Mail-Adressen-aus-Web-Browsern-3931772.html
Seit das bekannt ist, deaktiviere ich in Firefox die Autofill-Funktion:
about:config
signon.autofillForms → auf "false" umstellen
Das bringt einen enormen Sicherheitsgewinn und nur minimalen Komfortverlust: Seither muss ich in Benutzernamen-/Passwortfeldern einmal klicken, um sie auszufüllen.
Und das Problem mit den Subdomains ist in Firefox schon bei Version 68.x ESR hochgekocht.
Seither nehme ich in Firefox diese Einstellung vor:
about:config
includeOtherSubdomainsInLookup → auf "false" umstellen
Ich nehm dann immer das selbe Passwort her und zur Absicherung Yubikey oder Google Auth App lol. Zur Not noch ein Passwortbuch von Amazon, das ich mir als Backup doppelt kaufe. Zurück zu Stift und Papier. Dann spar ich mir die 1 Euro pro Monat.
Dann installiere doch lieber KeePass und mach regelmäßig offline-Backups, das ist weniger nervig als lange Passwörter per Hand 2x aufzuschreiben, außerdem müssen Backups ja auch an mehreren orten sein und das ist mit NAS in nem anderen Standort per VPN angebunden einfach einfacher…
wurde der Bug mittlerweile gefixt?