{"id":198681,"date":"2017-12-16T07:45:19","date_gmt":"2017-12-16T06:45:19","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=198681"},"modified":"2023-06-02T08:35:08","modified_gmt":"2023-06-02T06:35:08","slug":"windows10-unsichere-passwort-manager-app-keeper-eingeschleust","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/12\/16\/windows10-unsichere-passwort-manager-app-keeper-eingeschleust\/","title":{"rendered":"Windows 10: Unsicherer Passwort-Manager-App eingeschleust"},"content":{"rendered":"

[English<\/a>]Sicherheitsvorfall bei Microsoft Windows 10. Es wurde (mutma\u00dflich) \u00fcber die in diversen Installationsabbildern von Windows 10 enthaltenen Apps (oder \u00fcber einen speziellen Dienst) eine unsichere Version des Passwort-Managers Keeper verteilt. Diese konnte verwendet werden, um Kennw\u00f6rter zu stehlen. Die App wurde zwischenzeitlich aktualisiert, der Vorfall wirft aber Fragen auf.<\/p>\n

<\/p>\n

Worum geht es?<\/h2>\n

\"\"Microsoft rollt Windows 10 ja mit einer Menge vorinstallierter Apps (Bloatware), an die Anwender aus. Das ist zwar nervig, aber erst einmal kein wirkliches Problem. Bei der Installation von Windows 10 aus diversen Microsoft Imagedateien (so ganz genau ist der Weg noch nicht klar – ich habe die Apps bei mir nicht gefunden) scheint es aber so gewesen zu sein, dass dort auch die App Keeper (bzw. die ben\u00f6tigte Erweiterung f\u00fcr den Edge-Browser) mit vorinstalliert wurde. Woody Leonhard hat das die Nacht kurz bei askwoody.com<\/a> eingekippt. Ein Nutzer bei reddit.com hat das in diesem Thread<\/a> thematisiert.<\/p>\n

I just reinstalled Windows 10 today, and I was uninstalling all the bundled apps like usual, and I noticed that Keeper Password Manager is preinstalled now. I've never seen this come installed with Windows before.<\/p>\n

And this isn't a link to install it like some of the other apps, it's actually installed and opens.<\/p><\/blockquote>\n

In knappen Worten: Der Nutzer hat Windows 10 neu installiert und dann damit begonnen, die vorinstallierten Apps zu deinstallieren. Dabei ist ihm aufgefallen, dass der Keeper Password Manager<\/a> vorinstalliert war. Und nicht als Link, um die App aus dem Store zu laden, sondern die App war (vermutlich) im Installationsabbild dabei.<\/p>\n

\"Keeper-Passwort-Manager
\n(Keeper-Passwort-Manager in Windows 10 \u2013 Quelle: reddit.com)<\/p>\n

Der Nutzer hat das mit obigem Screenshot dokumentiert. Im reddit.com-Thread meldeten sich Nutzer, die das sowohl bei Windows 10 Home als auch bei Windows 10 Pro beobachtet haben. Und es kommt noch kruder: Ein Benutzer schreibt, dass er diese App drei Mal deinstalliert habe, diese aber immer wieder auf dem System aufgeschlagen sei.<\/p>\n

Der Windows 10 Content Delivery Manager<\/h2>\n

Unklar ist, wie diese App pl\u00f6tzlich in eine frische Windows 10-Installation aus einem Microsoft-Abbild kommt (und vor allem, sich nach dem Entfernen nachinstalliert). Aber es gab (bei reddit.com) recht schnell eine Vermutung. M\u00f6glicherweise liefert dieser \u00e4ltere Artikel<\/a> einen Hinweis, wie es passiert. Einem Benutzer ist beim Upgrade auf Windows 10 Anniversary Update ein merkw\u00fcrdiges Verhalten aufgefallen. Er schreibt:<\/p>\n

With the Windows 10 Anniversary Update, Microsoft added a new feature to the Content Delivery Manager, a component of the OS which is also used for Windows Spotlight and app suggestions.<\/p>\n

It now appears to silently install new apps for you without asking for any kind of confirmation.<\/p>\n

After I spotted a few new apps after upgrading to the Anniversary Update (not immediately, a few hours later), I decided to take a closer look at this.<\/p><\/blockquote>\n

Er ist auf eine Funktion mit dem Namen Content Delivery Manager gesto\u00dfen, \u00fcber die Microsoft neue Apps nach der Installation eines Windows 10-Abbilds nachinstallieren kann. Das erfolgt wohl ohne Nachfrage. Im Artikel wird erkl\u00e4rt, wie man das per Registrierungseingriff abstellen kann.<\/p>\n

Windows 10 Enterprise d\u00fcrfte nicht betroffen sein. Bei Windows 10 Pro k\u00f6nnte das auch passieren, wenn man mit einem lokalen Benutzerkonto angemeldet ist, da die App ja gratis bereitgestellt wird. Aktuell ist mir aber noch nicht klar, ob das Ausrollen auch bei deaktiviertem App-Auto-Update per Store-App passiert.<\/p><\/blockquote>\n

Unsichere Keeper-App-Version ausgerollt<\/h2>\n

Und nun kommen wir zum Sicherheitsproblem: Microsoft hat in Kooperation mit dem Anbieter von Keeper die App Keeper Passwort-Manager (sowie die Edge-Erweiterung) irgendwie auf die\/manche Windows 10-Systeme verteilt. Die ausgerollte Version versetzte Angreifer in der Lage, Kennw\u00f6rter der Nutzer abzufischen. Google Sicherheitsforscher Tavis Ormandy ist dies aufgefallen. Er hat diesen Vorfall am 14. Dezember 2017 hier dokumentiert<\/a>. Tavis schreibt:<\/p>\n

I recently created a fresh Windows 10 VM with a pristine image from MSDN, and found that a password manager called \"Keeper\" is now installed by default. I'm not the only person who has noticed this<\/p>\n

[Verweis auf den obigen reddit.com-Thread]:<\/p>\n

I assume this is some bundling deal with Microsoft. I've heard of Keeper, I remember filing a bug a while ago about how they were injecting privileged UI into pages (\u00a0\u00a0 issue 917\u00a0\u00a0 ). I checked and, they're doing the same thing again with this version. I think I'm being generous considering this a new issue that qualifies for a ninety day disclosure, as I literally just changed the selectors and the same attack works.<\/p><\/blockquote>\n

Tavis ist also auch die vorinstallierte App Keeper aufgefallen. Und er erinnerte sich, dass Keeper ein Sicherheitsproblem hatte, weil privilegierte UI-Elemente in Webseiten injiziert wurden. Er hat nachgeschaut und diese Technik erneut in der App Keeper (bzw. der von der App installierbaren Browser-Extension) gefunden.<\/p>\n

Die Keeper-Sicherheit ist also komplett kompromittiert. Denn die Keeper-Extension erm\u00f6glichte jeder beliebigen Webseite das klauen von Kennw\u00f6rtern (die von Keeper gespeichert und dann in die betreffenden Anmeldeformulare auf der Webseite eingetragen werden). Tavis verweist auf die Demo-Seite keepertest, die ein Twitter-Anmeldekennwort abfischt.<\/p>\n

\"Passwortklau<\/p>\n

Tavis Ormandy hat dann Keeper \u00fcber das Thema informiert. Die Keeper-Entwickler haben recht schnell einen Fix f\u00fcr das Problem ver\u00f6ffentlicht (wie man hier<\/a> in einem Keeper-Blog-Beitrag nachlesen kann). Bei Arstechnica schreibt Dan Goodin<\/a>, dass Windows 10 f\u00fcr 8 Tage mit einer kritischen Sicherheitsl\u00fccke 'geb\u00fcndelt' worden sei, weil die unsichere Keeper-App ja automatisch ausgerollt wurde. Da aber der Content Delivery Manager seit dem Anniversary Update vorhanden ist, bestand die Problematik potentiell bereits seit 16 Monaten (wie Woody Leonhard hier<\/a> schreibt).<\/p>\n

Der Vorfall zeigt, auf welches wackelige Fundament Microsoft die Nutzer mit ihrer Bloatware inzwischen schiebt. Ich kann mir nicht helfen \u2013 so etwas hat es imho vor einigen Jahren bei Microsoft noch nicht gegeben. Scheinbar ist bei denen das Marketing am Ruder und schiebt jeden Mist, den man sich vorstellen kann, auf die Windows 10-Systeme.<\/p>\n

Auf meinem Testsystem ist die App definitiv nicht installiert \u2013 bei der Suche nach 'Kee' per Startmen\u00fc wird mir nur der Store-Eintrag angezeigt. Spannende Frage: Ist jemandem von Euch die Keeper-App unter Windows 10 installiert worden? Das Ganze wurde zwar m.W. nicht aktiv ausgenutzt. Aber unter diesem Blickwinkel erh\u00e4lt die Aussage des Microsoft Marketing 'Windows 10, das sicherte Windows aller Zeiten' schon ein arges Geschm\u00e4ckle. Oder wie seht ihr das?<\/p>\n

Inzwischen habe ich diverse Leserr\u00fcckmeldungen erhalten, wo die App ohne wissentliche Aktion der Nutzer pl\u00f6tzlich da war. Auch hier<\/a> meldet sich ein deutscher Benutzer mit dem Fund. Eine Pr\u00e4zisierung der Geschichte ist in diesem heise.de-Kommentar<\/a> zu finden.<\/p><\/blockquote>\n

Was sagt Microsoft dazu?<\/h2>\n

Ich fand es schon erstaunlich – auf FB und auf einer anderen Site kam sofort die Nachfrage 'ist es sicher, dass die App von Microsoft in Windows 10 kam?' (es wurden OEM-Builds und was wei\u00df ich ins Spiel gebracht) und 'ist bei Microsoft mal nachgefragt worden?' – auf den Reflex 'Google ist viel schlimmer' gehe ich mal gar nicht ein.<\/p>\n

Die Aussage von Tavis Ormandy ist klar: Er hat eine frische Installation \u00fcber ein MSDN-Windows 10-Installationsabbild in einer virtuellen Maschine aufgesetzt und fand dort die App vorinstalliert vor. Da gibt es imho wenig zu interpretieren.<\/p>\n

\n

I created a new Windows 10 VM with a pristine image from MSDN, and noticed a third party password manager is now installed by default. It didn't take long to find a critical vulnerability. https:\/\/t.co\/dbkznucgLm<\/a><\/p>\n

\u2014 Tavis Ormandy (@taviso) December 15, 2017<\/a><\/p><\/blockquote>\n