LastPass: Sicherheitsforscher entdecken Phishing-Lücke

Die Schwachstelle in dem Passwort-Manager ermöglicht unter Umständen den Diebstahl aller Passwörter eines Nutzers. Dazu muss der Passworttresor aber auch auf den Servern von LastPass abgelegt sein.

Mithilfe einer Phishing-Lücke im Passwortmanager LastPass ist es möglich, Nutzer so zu täuschen, dass sie nicht nur ihr Masterpasswort für LastPass, sondern auch den Code für die Authentifizierung in zwei Schritten gegenüber einem speziell präparierten Server preisgeben. Das hat der Sicherheitsforscher Sean Cassidy am Wochenende auf der Hackerkonferenz ShmooCon in Washington demonstriert, wie Motherboard berichtet.

Phishing (Bild: Shutterstock)

Demnach muss ein Angreifer sein Opfer nur auf eine speziell gestaltete Website locken, die per JavaScript eine Benachrichtigung erzeugt, wonach der Nutzer nicht mehr bei LastPass angemeldet ist. Die Meldung, die der Originalnachricht von LastPass entspricht, leitet das Opfer jedoch zu einer gefälschten Anmeldeseite um. Gibt er dort sein Masterpasswort und den möglicherweise erforderlichen Code für die Zweischrittauthentifizierung an, werden die Informationen an einen Server des Angreifers übertragen. Der habe anschließend Zugriff auf die LastPass-API und könne darüber den vollständigen Passworttresor eines Nutzer herunterladen, so Motherboard weiter.

Eine Cross-Site-Request-Forgery-Lücke ist dem Forscher zufolge der Auslöser. Sie erlaube es beliebigen Websites, dem Passwortmanager eine Logout-Benachrichtigung zu senden. LastPass habe er im November über die Schwachstelle informiert.

Ein Patch, der dem Bericht zufolge inzwischen zur Verfügung steht, soll verhindern, dass Nutzer durch das von Cassidy entwickelte Phishing-Tool abgemeldet werden. Zudem warnt LastPass nun seine Nutzer, wenn sie ihr Masterpasswort in ein Webformular eingeben sollen, das nicht von LastPass stammt.

Cassidy bezeichnet den Fix jedoch in einem Blogeintrag als unzureichend. Da die Warnung genauso wie die Logout-Meldung über einen Browser angezeigt werde, könne eine von einem Angreifer kontrollierte Website die Warnung erkennen und leicht unterdrücken. „Wir als Branche reagieren nicht ausreichend auch Phishing-Angriffe“, schreibt Cassidy. „Meiner Ansicht nach sind sie so schlimm wie oder vielleicht sogar noch schlimmer als viele Remotecodeausführungen, weswegen sie auch wie solche behandelt werden sollten.“

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu LastPass: Sicherheitsforscher entdecken Phishing-Lücke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *