Die Sicherheit von Passwort-Managern ist ein zentrales Thema für viele Nutzer, und jüngste Prüfungen durch das Bundesamt für Informationssicherheit (BSI) haben wichtige Mängel aufgezeigt. In Zusammenarbeit mit der Münchner Firma MGM Security Partners wurden zwei weit verbreitete Passwort-Manager analysiert, wobei vor allem Vaultwarden in den Fokus der Aufmerksamkeit geriet. Die Überprüfungen fanden im Rahmen des Projekts zur Codeanalyse von Open-Source-Software (Caos 3.0) statt und varierierten zwischen Februar und Mai. Die Experten identifizierten insbesondere zwei kritische Sicherheitslücken in der Version 1.30.3 von Vaultwarden, die als hoch eingestuft wurden. Um den Nutzer zu schützen, wurde ein Update auf die Version 1.32.0 am 11. August veröffentlicht.
Die Überprüfungen zeigten, dass Vaultwarden, eine ressourcensparende und schnelle Alternative zu Bitwarden, aufgrund seiner Implementierung in Rust auf großes Interesse stößt. Ein Bericht von MGM, der am 11. Juni erstellt wurde, wurde erst kürzlich vom BSI veröffentlicht und enthüllt die Schwachstellen, die es Angreifern ermöglichen könnten, auf sensible Nutzerdaten zuzugreifen oder diese zu kompromittieren. Besondere Bedenken bestehen hinsichtlich der Tatsache, dass Vaultwarden keinen definierten Offboarding-Prozess für ausscheidende Mitglieder einer Organisation hat. Dies bedeutet, dass ehemalige Mitarbeiter dennoch Zugriff auf die Daten der Organisation besitzen könnten, da deren kryptografische Master-Schlüssel nicht gewechselt werden.
Details zu den Sicherheitslücken
Ein genauer Blick auf die festgestellten Schwachstellen zeigt, dass durch eine Kombination von Mängeln ein Angreifer möglicherweise auch unberechtigten Zugriff auf verschlüsselte Daten anderer Benutzer erlangen kann. Die Autoren des Berichts betonen, dass es beim Ändern von Metadaten für den Notfallzugriff nicht zu einer Überprüfung der Berechtigungen kommt. Angreifer, die durch einen Administrator Zugriff auf ein Konto erhalten haben, könnten daher unbefugte Änderungen an den Daten vornehmen und auf höhere Zugriffsebenen zugreifen.
Zusätzlich wurde festgestellt, dass das Admin-Dashboard anfällig für HTML-Injection-Angriffe ist. Angreifer können gefährliche Tags einfügen, die das Erscheinungsbild der Administratorseite verändern und Links zu schädlichen Seiten einbetten. Die Ergebnisse sind alarmierend und haben die Tester dazu veranlasst, Sicherheitshinweise in Form von CVEs, also einem Katalog für bekannte Sicherheitsanfälligkeiten, anzufordern. Der Patch zur Behebung dieser Sicherheitsprobleme wurde bereits veröffentlicht und sollte von den Administratoren umgehend installiert werden.
Minimaler Einfluss bei KeePass
Im Gegensatz zu Vaultwarden zeigen die Überprüfungen bei KeePass, einem weiteren beliebten Passwort-Manager, nur niedrig eingestufte Schwachstellen. In der Version 2.56, die getestet wurde, sind die gefundenen Mängel weniger gravierend, jedoch sollten auch diese nicht ignoriert werden. Das Auto-Type-Feature könnte von Angreifern missbraucht werden, um Passwörter von anderen Einträgen abzufangen. Zudem gab es eine Sicherheitsanfälligkeit bei der SSL-Zertifikatsvalidierung während des Datenimports, die theoretisch Angriffe durch Dritte ermöglichen könnte.
Das Caos-Kooperationsprojekt, welches seit 2021 besteht, hat das Ziel, die Sicherheit von Open-Source-Software zu verbessern. Es untersucht kontinuierlich beliebte Programme und unterstützt die Entwickler bei der Implementierung sicherer Codes. In der Vergangenheit wurden auch bereits andere Softwarelösungen wie Jitsi und BigBlueButton auf Sicherheitsanfälligkeiten untersucht. Mit der Veröffentlichung dieser Ergebnisse hoffen die Experten, die Entwickler für die potenziellen Risiken zu sensibilisieren und die Sicherheitsstandards zu erhöhen. Für detaillierte Informationen zu den schwerwiegendsten Schwachstellen und Lösungen, siehe die aktuelle Berichterstattung auf www.heise.de.
