Domino-Passwörter unzureichend geschützt [Update]
Der Lotus Domino Webmail-Komponente lassen sich Benutzer-Passwort-Hashes entlocken.
IBMs Groupware-Lösung Lotus Domino lassen sich in der Standardkonfiguration durch die Webmail-Komponente Benutzer-Passwort-Hashes entlocken. Da im Internet Passwort-Cracker für Domino zu finden sind, ließen sich damit gegebenenfalls die Benutzerpasswörter errechnen, so ein Security-Advisory von Cybsec.
Ein angemeldeter Benutzer kann sich den Adressbucheintrag von anderen Nutzern anzeigen lassen und erhält im Seitenquelltext den zugehörigen Passwort-Hash. Das Formularfeld dazu ist allerdings leer. Auch andere scheinbar leere Formularfelder enthalten im Quelltext Daten aus der names.nsf, die auf einem Domino-System als Hauptdatenbank und globales Adressbuch dient.
Als von dem Problem betroffen führt Cybsec R5 und R6 von Lotus Notes auf, R4 wurde nicht überprüft. Als Workaround empfiehlt das Advisory, im Designer das $PersonalInheritableSchema-Unterformular zu öffnen und bei den Feldern $dspHTTPPassword und HTTPPassword in den Eigenschaften "Hide paragram from" die Option "Web browsers" abzuwählen. Anschließend soll in dem "Person"-Formular in den Formulareigenschaften "Generate HTML for all fields” abgeschaltet werden. Gemäß dem Advisory sollte auch der letzte Schritt alleine ausreichen.
Update:
Der von Cybsec vorgeschlagene Workaround ist offensichtlich unwirksam und hat die Nebenwirkung, dass Benutzer ihre Kennwörter nicht mehr ändern können.
Michael Ritter veröffentlichte ein "Korrektur"-Advisory, worin er einen anderen Workaround vorschlägt. Dieser besteht im Wesentlichen darin, auf die Option "sichere Passwörter" umzustellen, die das Domino-System veranlasst, die Passwort-Hashes mit einem so genannten Salt zu berechnen. Dadurch sind die Hashes gleicher Passwörter nicht mehr identisch und schwerer zu knacken. Dies sieht IBM in einem Advisory aus dem Jahr 2000 auch so vor. In der Default-Konfiguration verwendet Lotus allerdings nach wie vor die ungesalzenen und deshalb leichter zu knackenden Hashes.
Im Allgemeinen gilt es als wünschenswert, Passwort-Hashes vor unbefugtem Zugriff zu schützen, da sie grundsätzlich durch Brute-Force- und Wörterbuchattacken angreifbar sind. In der Unix-Welt hat man deshalb beispielsweise das shadow-Passwort-Systems eingeführt, mit dem die Hashes nicht mehr für alle Systembenutzer lesbar sind. Im Lotus Domino-Universum wird anscheinend die Offenbarung von Passwort-Hashes als nicht sonderlich sicherheitsrelevant erachtet. Wer Wert auf Sicherheit legt, setzt ohnehin bessere Authentifizierungsverfahren beispielsweise über Zertifikate ein.
Um zumindest die Hash-Preisgabe über das Internet zu verhindern, können Administratoren, die die Passwortauthentifizierung benötigen, die Option "Maximum Internet Access" auf dem Directory auf "No Access" setzen. Dies sollte nicht weiter störend sein, da Webmail-Nutzer auch private Adressbücher einsetzen können.
Auch IBM hat mit einer Technote auf das Cybsec-Advisory reagiert und empfiehlt den Einsatz der verbesserten Passwörter. Des weiteren beschreibt das Dokument, wie man die versteckten Formularfelder auch im Quellcode ausblendet.
Siehe dazu auch: (dmk)
- Security Advisory von Cybsec
- Advisory von Ritter Consulting
- Technote von IBM
