DGC
CyberInsights
Der Blog rund um
Ihre Datensicherheit

Bitwarden Schwachstelle 2023

Bitwarden Schwachstelle
10.03.2023

Betroffene Produkte

Bitwarden

Kritikalität der Schwachstelle(n)

mittel

Auswirkungen

Open Source Bitwarden <= 2023.2.1

Beschreibung

Passwort-Manager sind grundsätzlich eine sinnvolle Möglichkeit, um die eigenen Anmeldeinformationen sicher zu schützen. Die Idee hinter einem Passwort-Manager ist, dass er die Anmeldeinformationen für viele Ihrer Konten sicher speichert und vom Benutzer verlangt, dass er sich nur ein Passwort merken muss (oder der Passwort-Manager ist so konfiguriert, dass er über biometrische Authentifizierung entsperrt wird).

In dem Passwort-Manager Bitwarden wurde kürzlich eine Schwachstelle entdeckt, die auf die atypische Verarbeitung von eingebetteten iFrames in einer Webseite zurückzuführen ist.

Der Standard-URI-Abgleich ist die Einstellung, die definiert, wie die Browsererweiterung festlegt, ob Anmeldeinformationen zum automatischen Ausfüllen angeboten werden. Dies geschieht, indem Teile der URI, der aktuellen Seite, mit Webseiten-Einträgen in gespeicherten Elementen im Tresor der Erweiterung verglichen werden. Standardmäßig ist sie auf „Basisdomain“ eingestellt, was bedeutet, dass die Erweiterung auf jeder Seite, auf der die Basisdomain, d.h. die Top-Level- und Second-Level-Domain, übereinstimmen, eine Auto-Fill-Funktionalität bietet.

Angriff: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Bitwarden ausnutzen, um an Anmeldeinformationen zu gelangen.

Hinweise:

  • Es wurde bei verschiedenen Tests festgestellt, dass die Auto-Fill Funktion auch Formulare in iframes ausfüllt, die zu gänzlich anderen Domains gehören.
  • Diese Auto-Fill-Funktion setzt keine weitere Benutzerinteraktion voraus, wenn die Option „Beim Laden der Seite automatisch ausfüllen“ aktiviert ist.
  • Es wurde bestätigt, dass, wenn der Benutzer ein Anmeldeformular über das Kontextmenü ausfüllt, auch in iframes eingebettete Formulare ausgefüllt werden.

CVEs

CVE-2018-25081, CVE-2023-27974

Mitigation oder Maßnahme zur Vermeidung respektive mögliche Handlungsempfehlungen

Der Hersteller bietet derzeit keinen Patch zur Behebung der Schwachstelle an.

Bitwarden hat sich zu dieser Schwachstelle geäußert und festgehalten, dass iframes aus Kompatibilitätsgründen auf diese Weise gehandhabt werden müssen. Es wurde jedoch bestätigt, dass gemeldete Webseiten von der Auto-Fill Funktion ausgeschlossen werden, was lediglich einen Angriffsvektor, aber nicht die Ursache des Angriffes, beseitigt.

Daher wird betroffenen Nutzern empfohlen, die Funktion „Beim Laden der Seite Automatisch Ausfüllen“ permanent zu deaktivieren. Alternativ kann die Standardeinstellung für das URI-Matching für das automatische Befüllen mit Anmeldeinformationen auf „Host“ oder „Exact“ umgestellt werden.

Referenzen und Links

[1] https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0605
[2] https://flashpoint.io/blog/bitwarden-password-pilfering/
[3] https://github.com/bitwarden/clients/releases
[4] https://news.ycombinator.com/item?id=35075861


Zurück zur Übersicht

Aktuelle Beiträge

Pressekontakt

Uwe Budowsky
Telefon: +49 461 995838-21
E-Mail: presse@dgc.org

Folgen Sie uns auf

Abonnieren Sie unseren Newsletter rund um das Thema Cybersicherheit

Mit unserem Cyberletter sind Sie stets topaktuell informiert - über Schwachstellenmeldungen, aktuelle IT-Bedrohungsszenarien sowie andere relevante Nachrichten aus dem Bereich Cyber Security und Datensicherheit

Mit der Anmeldung akzeptiere ich den Umgang mit meinen personenbezogenen Daten (§13 DSGVO) und stimme der Datenschutzerklärung zu.

© 2024 DGC AG
Impressum Datenschutzerklärung Cookie-Einstellungen
Soforthilfe im IT-Notfall
24h Hotline
+49 461 995 838 51
Wenn Sie einen IT-Sicherheitsvorfall bemerken, zögern Sie nicht.
Kontaktieren Sie unsere Spezialisten, um umgehend Hilfe zu erhalten.
Notfallnummer