Zero-Day-Lücke in Passwort-Manager LastPass
Beim Duschen ist Security-Spezialist Tavis Ormandy eingefallen, wie man die aktuelle Version des Passwort-Managers LastPass zur Ausführung von Schadcode bringen kann. Der Hersteller hat einen Patch angekündigt und gibt Tipps zur Schadensbegrenzung.
- Ronald Eikenberg
Durch eine bislang ungepatchte Schwachstelle in dem Passwort-Manager LastPass kann ein Angreifer offenbar Code auf dem Rechner des Nutzers zur Ausführung bringen. Der Entdecker der Sicherheitslücke ist kein Unbekannter: Es handelt sich um Tavis Ormandy aus Googles Security-Spezialeinheit Project Zero, der vergangene Woche bereits eine ganz ähnliche Lücke in LastPass entdeckt und an den Hersteller gemeldet hatte. Kurz darauf legte er noch mal nach.
Code-Execution unter der Dusche
(Bild: Twitter)
"Ich hatte heute Morgen ein Aha-Erlebnis unter der Dusche und habe realisiert, wie man Codeausführung in LastPass 4.1.43 hinbekommt", twitterte der Google-Forscher vergangenen Samstag. Als Beleg für seine Entdeckung veröffentlichte er einen Screenshot, in dem ausgehend von dem LastPass-Binarie nplastpass.exe zunächst die Windows-Eingabeaufforderung cmd.exe und schließlich der Taschenrechner calc.exe gestartet wird. Letzterer ist ein beliebtes Beispiel, um zu demonstrieren, dass man beliebige Befehle auf einem System ausführen kann.
Der Screenshot lässt vermuten, dass erneut die Binärcode-Erweiterung von LastPass betroffen ist. Ob diese derzeit aktiv ist, verrät der Info-Dialog der Browser-Erweiterung: Klicken Sie auf das LastPass-Icon, "Weitere Optionen" und "Über LastPass". Ob die Komponente aktiv ist, erfahren Sie unter "Binäre Komponente" – "wahr" bedeutet aktiv, "unwahr" steht für inaktiv.
LastPass will patchen – und rät, den Tresor zu nutzen
LastPass reagiert mit einem Blog-Eintrag auf Ormandys Entdeckung. Das Unternehmen erklärt, dass die Attacke ungewöhnlich und hochgradig anspruchsvoll ist. Ein Patch sei bereits in Arbeit, weitere Details will LastPass erst nach dessen Veröffentlichung verraten. Bis dahin hält das Unternehmen seine Nutzer ohne genauere Begründung an, die mit LastPass verwalteten Websites über den Tresor (Vault) aufzurufen. Dies sei der sicherste Weg, auf Zugangsdaten und Sites zuzugreifen, bis das Problem gelöst ist.
Ferner empfiehlt LastPass, auf allen Sites, die es anbieten, die Zwei-Faktor-Authentifizierung zu aktivieren – das ist unabhängig von dem aktuellen Sicherheitsproblem ein wertvoller Ratschlag. Der dritte und letzte Tipp ist, sich vor Phishing-Angriffen in Acht zu nehmen. (rei)
