{"id":252423,"date":"2021-04-24T10:32:42","date_gmt":"2021-04-24T08:32:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252423"},"modified":"2023-08-02T17:52:41","modified_gmt":"2023-08-02T15:52:41","slug":"passwordstate-passwort-manager-per-lieferkettenangriff-gekackt-april-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/24\/passwordstate-passwort-manager-per-lieferkettenangriff-gekackt-april-2021\/","title":{"rendered":"Passwordstate Passwort-Manager per Lieferkettenangriff gehackt (April 2021)"},"content":{"rendered":"

[English<\/a>]Unsch\u00f6ne Nachricht f\u00fcr Nutzer des Passwort-Manager Passwordstate. Click Studios, der australische Anbieter hinter dem Passwort-Manager hat bekannt gegeben, Opfer eines Lieferkettenangriffs geworden zu sein. Man sollte davon ausgehen, dass seine per Passwordstate Passwort-Manager gespeicherten Kennw\u00f6rter abgeflossen sind.<\/p>\n

<\/p>\n

\"\"Passwordstate ist eine On-Premises-Passwortverwaltungsl\u00f6sung, und wird nach eigenen Angaben des Unternehmens Click Studios<\/a> von \u00fcber 370.000 Sicherheits- und IT-Experten in 29.000 Unternehmen weltweit eingesetzt. Ich habe mal kurz eine Suchmaschine befragt: Im Sysadmin-Blog wurde Passwordstate als Alternative f\u00fcr Keepass vorgestellt<\/a>, und heise stellt das Produkt hier<\/a> als \"Web-basiertes Tool zum Speichern, Verwalten und Austauschen von Passw\u00f6rtern im Netzwerk\" vor. Im Chrome-Webstore gibt es diese Browser-Erweiterung<\/a> f\u00fcr Passwordstate.<\/p>\n

Lieferkettenangriff auf den Anbieter<\/h2>\n

Nun musste der Anbieter Click Studios einen Lieferkettenangriff (Supply-Chain-Attack) auf seine IT zugeben. Ich bin \u00fcber den nachfolgenden Tweet<\/a> der Kollegen von Bleeping Computer auf das Thema gesto\u00dfen.<\/p>\n

\"Passwordstate<\/a><\/p>\n

Click Studio hat wohl eine E-Mail mit dem Titel \"Confirmation of Malformed Files and Essential Course of Action\" an Kunden rund geschickt, die von der polnischen Webseite Niebezpiecznik auf Twitter<\/a> ver\u00f6ffentlicht wurde.<\/p>\n

\"Mail<\/a>
\nMail von Click Studio an Passwordstate-Nutzer<\/p>\n

Der Anbieter informiert zum 22. April 2021 seine Kunden \u00fcber eine m\u00f6gliche Integrit\u00e4tsverletzung des Passwordstate-Passwort-Managers. Obiges Bild enth\u00e4lt den Text der Mail als Screenshot – hier ein Auszug:<\/p>\n

Confirmation of Malformed Files and Essential Course of Action<\/strong><\/p>\n

Initial analysis indicates that bad actor using sophisticated techniques had compromised the In-Place Upgrade functionality.<\/p>\n

Any in-Place Upgrade performed between 20th April 8:33 PM UTC and 22nd April 0:30 AM UTC had the potential to download a malformed Passwordstate_ipgrade.zip [..] sourced from a download network not controlled by Click Studios […]<\/p><\/blockquote>\n

Einem Angreifer sei es gelungen, in einer ausgefuchsten Aktion die Inplace-Upgrade-Funktion des Produkts zu kompromittieren – das ist nichts anderes als die Umschreibung eines Lieferkettenangriffs, bei dem Malware in den Update-Prozess eines Produkts eingeschleust werden konnte. Und am 20. April 2021 gab es wohl ein Update f\u00fcr Passwordstate 9.1 – Build 9117<\/a>.<\/p>\n

Updates zwischen 20. und 22. April 2021 betroffen<\/h2>\n

Kunden, die die Inplace-Upgrade-Funktion des Produkts zwischen dem\u00a0 20. und 22. April 2021 genutzt haben, sind potentiell betroffen und k\u00f6nnten die mit Malware infizierte datei upgrade_service_upgrade.zip <\/em>aus dem CDN der Angreifer erhalten haben. Denn \u00fcber einen Zeitraum von 28 Stunden erfolgten die Downloads nicht mehr von den Update-Servern des Anbieters Click Studio.<\/p>\n

Dem Angreifer ist es, laut J. A. Guerrero-Saade<\/a>, Principal Threat Researcher bei SentinelOne, gelungen, dem urspr\u00fcnglichen Code von Passwordstate einen 'Loader'-Codeabschnitt hinzuzuf\u00fcgen, der lediglich 4 KB einer \u00e4lteren Version enth\u00e4lt. Der Sicherheitsforscher hat seine Kurzanalyse in einer Serie von Tweets ver\u00f6ffentlicht. Der Loader hat\u00a0 eine Funktionalit\u00e4t, um weitere Payloads vom Kontroll-Server (C2) zu beziehen. Es gibt auch Code, um die globalen Einstellungen des 'PasswordState'-Datenspeichers zu parsen (Proxy UserName\/Password, etc.).<\/p>\n

Also ein absoluter GAU, denn die Moserware getaufte Malware sammelt Systeminformationen und Passwordstate-Daten, um diese an die von Angreifern kontrollierte Server zu senden. Die CDN-Server, die bei dem Angriff verwendet wurden, sind seit dem 22. April 7:00 Uhr UTC abgeschaltet und nicht mehr erreichbar.<\/p>\n

Click Studio hatte einen Hotfix freigegeben, um die Infektion \u00fcber Checksummen zu erkennen. Die Kollegen von Bleeping Computer haben die Download-Adresse, die auch in obigem Screenshot zu sehen ist, zwar verlinkt, die Seite ist aber nicht mehr erreichbar.<\/p><\/blockquote>\n

Click Studios r\u00e4t Nutzern, deren Client in der oben angegebenen Zeit aktualisiert wurde, alle Passw\u00f6rter in der Passwordstate-Datenbank zur\u00fcckzusetzen. Das Zur\u00fccksetzen der Passw\u00f6rter sollte folgenderma\u00dfen priorisiert werden:<\/p>\n