Alert!

VPN-Clients und Passwortmanager betroffen: Klartextpasswort im Prozessspeicher

Wegen einer LĂĽcke unter anderem in VPN-Clients und Passwortmanagern bleiben vertrauliche Daten auch nach Abmeldung im Prozess-Speicher und sind auslesbar.

In Pocket speichern vorlesen Druckansicht 364 Kommentare lesen

(Bild: Song_about_summer/Shutterstock.com)

Lesezeit: 2 Min.
Von

In einer aktuellen Untersuchung haben Sicherheitsexperten der secuvera GmbH eine schwerwiegende Schwachstelle in verschiedenen sicherheitsrelevanten Anwendungen wie VPN-Software und Passwortmanagern identifiziert. Sie führt dazu, dass vertrauliche Informationen wie Passwörter oder Anmeldeinformationen auch nach dem Abmelden von Benutzern weiterhin im Klartext im Prozessspeicher verbleiben und somit für potentielle Angreifer leicht zugänglich sind. Diese Schwachstelle ist klassifiziert als CWE-316: Cleartext Storage of Sensitive Information in Memory.

Sicherheitsrisiko: Klartextpasswort im Prozessspeicher.

(Bild: secuvera)

Malware auf einem Rechner ist meistens in der Lage, den Speicher anderer Prozesse zu lesen und die Daten zu nutzen. Problematisch sind daher Daten wie Passwörter und andere vertrauliche Informationen, die nach dem Anmeldeprozess unverschlüsselt im Speicher eines Programms abgelegt sind. Für die Studie testeten die Experten unter realistischen Bedingungen verschiedene Anwendungen, darunter VPN-Clients und Passwortmanager, die explizit für den Schutz solcher Benutzerinformationen entwickelt wurden.

Für dieses prinzipbedingte Problem gibt es keine einfache Lösung. Einige Workarounds können es Angreifern aber zumindest schwerer machen, an die Daten zu gelangen. Da auch bei der Beachtung strenger Richtlinien für die Datenverschlüsselung die Daten zum Zeitpunkt der Programmnutzung entschlüsselt und im Klartext in den Hauptspeicher geladen werden, sollte das Ziel sein, das Zeitfenster für einen potenziellen Angriff zu minimieren. Anwendungsentwickler müssten dafür sorgen, dass die Daten aus dem Speicher gelöscht oder zumindest sicher überschrieben werden, sobald sie nicht mehr benötigt werden oder der Benutzer die Anwendung schließt oder sich abmeldet.

Zu den getesteten Programmen gehörten unter anderem OpenVPN, CyberGhost VPN, Mullvad, 1Password und BitWarden. In vielen der getesteten Programme wurden die vertraulichen Daten auch nach dem Abmelden durch die Benutzer noch im Prozessspeicher gefunden – sogar Masterpasswörter von Passwortmanagern. Als gefundene Informationen führt secuvera alle möglichen Zugangsdaten auf: von E-Mail-Adressen und AccountIDs bis hin zu Passwörtern und 2FA-Codes, wobei sie im Bericht nicht nach Wichtigkeit unterscheiden. Die Reaktionen der Hersteller, die unverzüglich informiert wurden, waren unterschiedlich: Während einige Hersteller, wie CyberGhost VPN, die Schwachstellen anerkannt und bereits Sicherheitsupdates veröffentlicht haben, blieben andere Hersteller bisher untätig oder lehnten es ab, die Schwachstellen zu beheben. Ein Anbieter verbot gar die Veröffentlichung seines Namens und der Ergebnisse. Weitere Details zur Untersuchung sind einem Blogartikel auf der Webseite von secuvera zu entnehmen

Update

Produktnamen im ersten Absatz entfernt und am Ende die Art der gefundenen Informationen genauer spezifiziert.

(ur)