Passwort-Manager Bitwarden: Master-Schlüssel war für alle lesbar
Der Passwort-Manager Bitwarden unterstützt die Authentifizierung mit Windows Hello. Bis vor Kurzem war darüber der Master-Schlüssel für alle auslesbar.
(Bild: PopTika/Shutterstock.com)
Bis vor Kurzem konnten lokale Prozesse oder Nutzer unter Windows biometrisch gesicherte Passwort-Vaults von Bitwarden öffnen. Ursache war die inkorrekte Nutzung des Windows Credential Guard, der die Master-Schlüssel speichert und diese geheimen Schlüssel auch ohne den (biometrischen) Windows-Hello-Test preisgegeben hat.
Bitwarden: Windows Hello anders genutzt als dokumentiert
Beim Aktivieren der biometrischen Entsperrung in Bitwarden Desktop für Windows legt die Anwendung einen Master-Schlüssel an und speichert ihn in den Windows Credentials des aktiven Nutzers. Die fehlerhafte Umsetzung erlaubte es Angreifern, durch den Aufruf der Windows-API-Funktion CredRead diesen Master-Schlüssel auszulesen und damit die lokal gespeicherten Daten in %appdata%\Bitwarden\data.json zu entschlüsseln – ohne dass es zu einem Biometrie-Prompt kommt. Die Datei data.json ist von jedem Programm zugreifbar, ohne erhöhte Rechte (CVE-2023-27706, CVSS 6.2, Risiko "mittel").
Wie die Bitwarden-Entwickler im Verlauf der Sicherheitsmeldung auf Hackerone erklären, haben sie das Problem gelöst, indem der Bitwarden-Master-Schlüssel vor dem Abspeichern verschlüsselt wird. Dadurch könnten weiterhin andere Anwendungen das Geheimnis zwar auslesen, aber es bleibt verschlüsselt und unbenutzbar. Um den für das Entschlüsseln notwendigen Key zu erhalten, muss eine App die biometrische Entsperrung mit Windows Hello anstoßen, was eine Nachfrage bei Nutzern auslöst. Dies sei der dokumentierte Weg, den Microsoft für serverseitige Authentifizierung traditionell vorsieht.
Außerdem haben die Entwickler in den Einstellungen die Option ergänzt, dass beim Start der App zunächst ein Passwort oder eine PIN einzugeben ist. Das entspricht zudem auch ihrer Empfehlung für eine sichere Konfiguration.
(Bild: Screenshot / dmk)
Der Bitwarden-Windows-Client ist ab Version 2023.4.0 gegen diese Schwachstelle gewappnet. Wer noch nicht automatisch auf den neuen Stand gebracht wurde, sollte die aktuelle Version von der Downloadseite von Bitwarden herunterladen und installieren.
Die Windows-Hello-Funktion zum Entsperren von Bitwardens Passwort-Vaults hatte sich die c't vor rund einem Jahr bereits einmal angeschaut und war vom Komfort recht angetan. Die allgemeine Empfehlung lautet, auf einen Passwort-Manager zu setzen, im konkreten Beispiel war Bitwarden das kostenlose Open-Source-Tool der Wahl.
Wortwahl präzisiert: Der ursprüngliche Text verwendete die Begriffe "biometrische Schlüssel" und "biometrische Entschlüsselung". Mit biometrischen Merkmalen kann jedoch keine Ver- oder Entschlüsselung durchgeführt werden; es handelt sich dabei schließlich auch nicht um Geheimnisse im kryptografischen Sinn. Deshalb haben wir die Begriffe durch treffendere Bezeichner wie "Master-Schlüssel" und "biometrische Entsperrung" ersetzt.
(dmk)
