Betroffene Produkte
Bitwarden
Kritikalität der Schwachstelle(n)
mittel
Auswirkungen
Open Source Bitwarden <= 2023.2.1
Beschreibung
Passwort-Manager sind grundsätzlich eine sinnvolle Möglichkeit, um die eigenen Anmeldeinformationen sicher zu schützen. Die Idee hinter einem Passwort-Manager ist, dass er die Anmeldeinformationen für viele Ihrer Konten sicher speichert und vom Benutzer verlangt, dass er sich nur ein Passwort merken muss (oder der Passwort-Manager ist so konfiguriert, dass er über biometrische Authentifizierung entsperrt wird).
In dem Passwort-Manager Bitwarden wurde kürzlich eine Schwachstelle entdeckt, die auf die atypische Verarbeitung von eingebetteten iFrames in einer Webseite zurückzuführen ist.
Der Standard-URI-Abgleich ist die Einstellung, die definiert, wie die Browsererweiterung festlegt, ob Anmeldeinformationen zum automatischen Ausfüllen angeboten werden. Dies geschieht, indem Teile der URI, der aktuellen Seite, mit Webseiten-Einträgen in gespeicherten Elementen im Tresor der Erweiterung verglichen werden. Standardmäßig ist sie auf „Basisdomain“ eingestellt, was bedeutet, dass die Erweiterung auf jeder Seite, auf der die Basisdomain, d.h. die Top-Level- und Second-Level-Domain, übereinstimmen, eine Auto-Fill-Funktionalität bietet.
Angriff: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Bitwarden ausnutzen, um an Anmeldeinformationen zu gelangen.
Hinweise:
- Es wurde bei verschiedenen Tests festgestellt, dass die Auto-Fill Funktion auch Formulare in iframes ausfüllt, die zu gänzlich anderen Domains gehören.
- Diese Auto-Fill-Funktion setzt keine weitere Benutzerinteraktion voraus, wenn die Option „Beim Laden der Seite automatisch ausfüllen“ aktiviert ist.
- Es wurde bestätigt, dass, wenn der Benutzer ein Anmeldeformular über das Kontextmenü ausfüllt, auch in iframes eingebettete Formulare ausgefüllt werden.
CVEs
CVE-2018-25081, CVE-2023-27974
Mitigation oder Maßnahme zur Vermeidung respektive mögliche Handlungsempfehlungen
Der Hersteller bietet derzeit keinen Patch zur Behebung der Schwachstelle an.
Bitwarden hat sich zu dieser Schwachstelle geäußert und festgehalten, dass iframes aus Kompatibilitätsgründen auf diese Weise gehandhabt werden müssen. Es wurde jedoch bestätigt, dass gemeldete Webseiten von der Auto-Fill Funktion ausgeschlossen werden, was lediglich einen Angriffsvektor, aber nicht die Ursache des Angriffes, beseitigt.
Daher wird betroffenen Nutzern empfohlen, die Funktion „Beim Laden der Seite Automatisch Ausfüllen“ permanent zu deaktivieren. Alternativ kann die Standardeinstellung für das URI-Matching für das automatische Befüllen mit Anmeldeinformationen auf „Host“ oder „Exact“ umgestellt werden.
Referenzen und Links
[1] https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0605
[2] https://flashpoint.io/blog/bitwarden-password-pilfering/
[3] https://github.com/bitwarden/clients/releases
[4] https://news.ycombinator.com/item?id=35075861