Passwort-Manager Passwordstate gehackt

26. April 2021, 15:10
  • security
  • breach
  • click studios
image

In der Supply-Chain-Attacke hatten es die Angreifer auf Hunderttausende von Zugangsdaten abgesehen. Vielleicht erfolgreich.

Wer einen Passwortmanager sucht, kann rund 40 unterschiedliche Angebote evaluieren, denn das Hacken eines solchen ist nicht auf die leichte Schulter zu nehmen. Nun wurde Passwordstate von Click Studios im Rahmen einem Supply-Chain-Angriff gehackt.
Laut dem Anbieter ist es den Hackern gelungen, in eine Upgrade-Funktion einzudringen. Via Twitter wurde das entsprechende Mail an Kunden publik.
Nutzer von Passwordstate sollen sofort alle ihre Passwörter zurücksetzen, falls sie den Upgrade Passwordstate_upgrade.zip" in den 28 Stunden zwischen 20. April, 8.33 PM UTC und 22. April 0.30 Uhr AM UTC heruntergeladen haben. "Es wird davon ausgegangen, dass nur Kunden, die In-Place-Upgrades zwischen den oben genannten Zeitpunkten durchgeführt haben, betroffen sind und deren Passwordstate-Passwortdaten möglicherweise abgegriffen wurden", schreibt der Anbieter in einem Advisory (PDF).
Wer ist tatsächlich betroffen? Den Kunden wird geraten, die Dateigrösse von "moserware.secretsplitter.dll"zu überprüfen, die sich in ihrem Verzeichnis c:\inetpub\passwordstate\bin\ befindet. "Wenn die Dateigrösse 65KB beträgt, sind sie wahrscheinlich betroffen".
Nun gilt es für Betroffene, die Zugangsdaten für Firewalls, VPN, für die interne Infrastruktur und alle weiteren in Passwordstate gespeicherten Datensätze zurückzusetzen.
"Um das klarzustellen, das CDN-Netzwerk von Click Studios wurde nicht kompromittiert. Die ursprüngliche Kompromittierung zeigte die In-Place-Upgrade-Funktionalität auf ein CDN-Netzwerk, das nicht von Click Studios kontrolliert wird", fügt das Unternehmen hinzu.

Was man zu wissen scheint

Was bekannt zu sein scheint: Einmal installiert, sammelt die Malware, die inzwischen "Moserpass" getauft wurde, Systeminformationen und Passwortdaten, die später an einen vom Angreifer kontrollierten Dienst übermittelt werden.
Darunter sollen unter anderem Computername, Benutzername, Domänenname, aktueller Prozessname, aktuelle Prozess-ID, Name und ID aller laufenden Prozesse sowie Benutzername und Passwort sein. Dazu diverse Felder in der Kennworttabelle der Passwordstate-Instanz.
Der Domänenname und der Hostname würden nicht extrahiert. Es gebe bis anhin "keinen Hinweis darauf, dass Verschlüsselungsschlüssel oder Datenbank-Verbindungszeichenfolgen an das CDN-Netzwerk der Hacker gesendet würden".
Auf den ersten Blick betrachtet, glaube er, dass die Angreifer "grob einen "Loader"-Codeabschnitt hinzugefügt haben, nur 4 KB mehr als in einer älteren Version", twitterte J. A. Guerrero-Saade, ein Security-Forscher von Sentinelone.
Die Indicators of compromise (IoC) hat die Cybersecurity Firma CSIS Security Group wohl als erste publiziert. Ein Security-Forscher publizierte unter dem Handle Lordx64 seine erste Code-Analyse via 'Medium'.

Von Nutzen und Risiken von Passwort-Managern undsoweiter

Passwortmanager sind interessante Ziele, da ein Krimineller nicht jeden User einzeln hacken muss, sondern Login-Daten auf diese Weise auf dem Silbertablett serviert kriegt. Opferseitig hat man dann gleich alle Passworte zu ändern.
Nun lässt sich denn trefflich über Nutzen und Risiken von Passwortmanagern streiten, über Open Source versus Closed Source und die Securityvorkehrungen von Click Studios. Die australische Firma hat jedenfalls einen massiven Imageschaden zu befürchten, ist Passwordstate doch laut Click Studios bei 370'000 Sicherheits- und IT-Experten in 29'000 Unternehmen weltweit im Einsatz.
Nach SolarWinds-Orion und dem Hack von Codecov ist dies 2020 bereits der dritte bekannte, grössere erfolgreiche Angriff, der via die Update- und Distributionsmechanismen eines Herstellers ausgeführt wurde.

Loading

Mehr zum Thema

image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023