{"id":278621,"date":"2023-03-10T14:40:13","date_gmt":"2023-03-10T13:40:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278621"},"modified":"2023-03-10T17:56:41","modified_gmt":"2023-03-10T16:56:41","slug":"schwachstellen-in-bitwarden-password-manager-browserweiterung-knnen-passwrter-verraten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/10\/schwachstellen-in-bitwarden-password-manager-browserweiterung-knnen-passwrter-verraten\/","title":{"rendered":"Schwachstellen in Bitwarden Password-Manager-Browserweiterung können Passwörter verraten"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Nutzer des Passwort-Managers Bitwarden laufen in das Risiko, dass die Auto-Fill-Funktion beim Besuch von Webseiten Anmeldeinformationen leckt. B\u00f6sartige Webseiten k\u00f6nnten \u00fcber ein in vertrauensw\u00fcrdigen Seiten eingebettetes IFRAME Anmeldeinformation stehlen und an einen Angreifer senden.<\/p>\n

<\/p>\n

\"\"Bitwarden<\/a> ist ein Freemium-Open-Source-Passwortverwaltungsdienst<\/a>, der vertrauliche Informationen wie Website-Anmeldeinformationen in einem verschl\u00fcsselten Tresor speichert. Inzwischen gibt es aber eine heftige Diskussion \u00fcber die Browser-Plugins dieses Dienst und deren Sicherheit gegen Passwort-Klau.<\/p>\n

FlashPoint zu Bitwarden Passwort-Sicherheit<\/h2>\n

Angesto\u00dfen wurde das Ganze von Sicherheitsforschern des Sicherheitsanbieters FlashPoint, die im Beitrag Bitwarden: The Curious (Use-)Case of Password Pilfering<\/a> auf ein Problem beim Open Source Bitwarden-Passwortmanager hinweisen. Ich habe mal aus den zahllosen Meldungen der letzten Stunden nachfolgenden Tweet<\/a> als Erstquelle herausgegriffen.<\/p>\n

\"FlashPoint<\/a><\/p>\n

Das Bitwarden AutoFill-Problem<\/h2>\n

Die Sicherheitsforscher von FlashPoint haben sich das Verhalten des Bitwarden (Browser-Erweiterung f\u00fcr Passwort-Manager) genauer angesehen und sind auf ein potentielles Problem gesto\u00dfen. Eingebettete Iframes in einer Webseite werden von Bitwarden auf untypische Weise behandelt. Mit iframes kann man den Inhalt einer fremden Webseite (z.B. Kreditkartendaten) in einer Webseite einbetten – das ist hinl\u00e4nglich bekannt.<\/p>\n

Der Browser sollte den Kontext dieser eingebetteten iframe-Fremdseite von der \u00fcbergeordneten Seite trennen. Das l\u00e4sst sich \u00fcber die Same-origin-Policy steuern. Ist diese aktiv, wird die per iframe eingebettete Seite von der \u00fcbergeordneten Seite isoliert und kann nicht auf deren Inhalte zugreifen (siehe folgende Abbildung).<\/p>\n

\"Same-Origin-Policy\"
\nSame-Origin-Policy-Verhalten, Quelle: FlashPoint<\/p>\n

Die Policy gilt als ein wichtiges Sicherheitskonzept und ist in allen wichtigen Browsern implementiert. Dadurch wird verhindert, dass eingebettete Webseiten kritische Informationen aus einer \u00fcbergeordneten Seite abrufen k\u00f6nnen.<\/p>\n

Die Bitwarden-Browsererweiterung kann Nutzern anbieten, f\u00fcr eine bekannte Webseite gespeicherte Anmeldedaten f\u00fcr eine Anmeldung per Auto-Fill einzutragen. Ist die Bitwarden-Option \"Automatisches Ausf\u00fcllen beim Laden der Seite\" aktiviert, geschieht dieses Autoausf\u00fcllen ohne Benutzerinteraktion.<\/p>\n

Das Problem: Die Bitwarden-Browsererweiterung verwendet die Auto-Fill-Funktion auch auf Seiten, in denen Fremdinhalte aus anderen Domains per iframe eingebettet sind. Die per iframe eingebettete Webseite hat zwar keinen Zugriff auf den Inhalt der \u00fcbergeordneten Seite. Aber die Seite kann auf die Eingabe in das Anmeldeformular warten und die eingegebenen Anmeldedaten ohne weitere Benutzerinteraktion an einen Remote-Server weiterleiten, schreiben die Sicherheitsforscher.<\/p>\n

Die Bitwarden-Dokumentation enth\u00e4lt zwar eine Warnung, die besagt, dass \"kompromittierte oder nicht vertrauensw\u00fcrdige Websites\" dies ausnutzen k\u00f6nnten, um Anmeldedaten zu stehlen. Die Sicherheitsforscher gebe an, dass eine Erweiterung kaum etwas tun kann, um das Stehlen von Anmeldeinformationen zu verhindern, wenn die Website selbst kompromittiert ist.<\/p>\n

Allerdings gibt es regul\u00e4re (nicht kompromittierte) Websites, die aus verschiedenen Gr\u00fcnden, z. B. f\u00fcr Werbung, externe iframes einbetten. Das bedeutet, dass ein Angreifer nicht unbedingt die Website selbst kompromittieren muss – er muss lediglich die Kontrolle \u00fcber den Inhalt des iframes haben. Es wurden dann\u00a0 stichprobenartig einige prominente Websites \u00fcberpr\u00fcft, um festzustellen, ob auf der Anmeldeseite ein Iframe eingebettet ist. Es wurden nur wenige zutreffende F\u00e4lle gefundenen, was das potenzielle Risiko verringert.<\/p>\n

2. Sicherheitsl\u00fccke bei Subdomains<\/h2>\n

Bei der Erstellung eines Proof-of-Concept zum Ausnutzen der Schwachstelle stie\u00dfen die Sicherheitsforscher auf ein weitere Schwachstelle CVE-2023-27974<\/a> in der Bitwarden-Erweiterung. Diese steckt im Verhalten bez\u00fcglich des Standard-URI-Abgleichs – eine Einstellung, die festlegt, wie die Browsererweiterung das automatische Ausf\u00fcllen von Logins anbieten soll.<\/p>\n

Standardm\u00e4\u00dfig ist die Einstellung auf \"Basisdom\u00e4ne\" eingestellt. Das bedeutet, dass die Bitwarden-Erweiterung die Auto-Fill-Funktionalit\u00e4t auf jeder Seite anbietet, auf der die Basisdom\u00e4ne, d. h. die Top-Level- und Second-Level-Dom\u00e4ne, \u00fcbereinstimmt. Das ist aber ein Problem, wenn Subdomains verwendet werden.<\/p>\n

Betreibt ein Unternehmen beispielsweise eine Anmeldeseite unter logins.company.tld<\/em>, und gibt es eine weitere Seite\u00a0 <Kundenname>.firma.tld<\/em>, k\u00f6nnen diese Benutzer Anmeldedaten von den Bitwarden-Erweiterungen stehlen. Die Sicherheitsforscher beschreiben in ihrem Blog-Beitrag<\/a> mehrere Szenarien, in denen Angreifer Zugriff auf gespeicherte Anmeldeinformationen f\u00fcr Webseiten erhalten.<\/p>\n

Als die Forscher Bitwarden mit den Erkenntnissen konfrontierten, kam eine \u00fcberraschende Antwort. Der Anbieter scheint sich seit vielen Jahren dieses Problems bewusst zu sein. Bitwarden verwies die Sicherheitsforscher in der Antwort auf den Security Assessment Report<\/a> (PDF, siehe auch diese Bitwarden-Seite<\/a>) vom 8. November 2018, in dem die Schwachstelle in Bezug auf die Behandlung von iframes beschrieben wird (BWN-01-001). Das bedeutet, dass diese Sicherheitsl\u00fccke seit \u00fcber vier Jahren als dokumentiert und \u00f6ffentlich bekannt gilt!<\/p>\n

Auf Grund der unbefriedigenden Antwort hat Flashpoint zwei Beispiele erstellt und Bitwarden bereitgestellt, die demonstrieren, wie die Schwachstelle zum Klau der Anmeldedaten genutzt werden kann. In der Antwort von Bitwarden wurde ein Anwendungsfall genannt, warum iframes auf diese Weise behandelt werden m\u00fcssen. Es m\u00fcsste sich um den gegen\u00fcber Bleeping Computer<\/a> genannten Anwendungsfall handeln: \"Bitwarden akzeptiert das automatische Ausf\u00fcllen von iframe, weil viele popul\u00e4re Websites dieses Modell verwenden, z. B. icloud.com verwendet einen iframe von apple.com\".<\/em><\/p>\n

Bitwarden plant jedoch, laut FlashPoint, die gemeldete Hosting-Umgebung von der Auto-Fill-Funktionalit\u00e4t auszuschlie\u00dfen. Nicht korrigiert wird aber die allgemeine iframe-Funktionalit\u00e4t. Eine kurze Recherche der FlashPoint-Forscher bei \u00e4hnlichen Dienstanbietern zeigte,dass diese kein Auto-Fill verwenden und ggf. eine Warnung anzeigen, wenn die Gefahr besteht, dass Daten \u00fcber iframes abflie\u00dfen. Das Problem scheint derzeit nur beim Bitwarden-Produkt zu existieren.<\/p>\n

Die FlashPoint-Sicherheitsforscher empfehlen Bitwarden-Nutzern die Funktion \"Automatisches Ausf\u00fcllen beim Laden einer Seite\" zu deaktivieren und die Einstellung \"Standard-URI-\u00dcbereinstimmungserkennung\" auf \"Host\" oder \"Exakt\" zu setzen. Dadurch wird die Ausnutzung der Schwachstelle \u00fcber Subdomains bei Hosting-Providern verringert. Es ist zu beachten, dass die Offenlegung von Anmeldeinformationen nicht verhindert wird, wenn eine Webanwendung potenziell von Angreifern kontrollierte Iframes in eine Anmeldeseite einbettet.<\/p>\n

Das Ganze bekommt eine besondere Bedeutung, wenn man diesen heise-Artikel<\/a> kennt. Anl\u00e4sslich des LastPass-Einbruchs behauptete ein Nutzer, Anmeldedaten unter Bitwarden abgegriffen zu haben.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nutzer des Passwort-Managers Bitwarden laufen in das Risiko, dass die Auto-Fill-Funktion beim Besuch von Webseiten Anmeldeinformationen leckt. B\u00f6sartige Webseiten k\u00f6nnten \u00fcber ein in vertrauensw\u00fcrdigen Seiten eingebettetes IFRAME Anmeldeinformation stehlen und an einen Angreifer senden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-278621","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278621","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278621"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278621\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278621"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278621"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278621"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}