Passwordstate Password Manager Update gekapert, um Backdoor auf Tausenden von PCs zu installieren

Cyber Security News

Click Studios, die australische Software-Firma, die hinter der Passwort-Management-Anwendung Passwordstate steht, hat nach einem Angriff auf die Software-Lieferkette ihre Kunden aufgefordert, ihre Passwörter zurückzusetzen.

Die in Adelaide ansässige Firma sagte, dass ein böser Akteur ausgeklügelte Techniken verwendet hat, um den Update-Mechanismus der Software zu kompromittieren und ihn zu nutzen, um Malware auf den Computern der Benutzer abzulegen.

Der Einbruch soll zwischen dem 20. April, 20:33 Uhr UTC, und dem 22. April, 0:30 Uhr UTC, stattgefunden haben, also insgesamt etwa 28 Stunden lang.

“Es wird davon ausgegangen, dass nur Kunden betroffen sind, die In-Place-Upgrades zwischen den oben genannten Zeitpunkten durchgeführt haben”, so das Unternehmen in einem Advisory. “Manuelle Upgrades von Passwordstate sind nicht gefährdet. Die Passwörter der betroffenen Kunden können abgegriffen worden sein.”

[Blocked Image: https://thehackernews.com/images/-va9G8j8L8t0/YHc_zcfiuFI/AAAAAAAA3ws/2KY886mKSJkGD0dDrseOimw0dTJfitfmwCLcBGAsYHQ/s300-e100/thn-300-6.png]

Die Entwicklung wurde zuerst von der polnischen Tech-News-Seite Niebezpiecznik gemeldet. Es ist nicht sofort klar, wer die Angreifer sind oder wie sie die Update-Funktion des Passwort-Managers kompromittiert haben. Click Studios sagte, dass eine Untersuchung des Vorfalls im Gange ist, aber “die Anzahl der betroffenen Kunden scheint sehr gering zu sein”.

Passwordstate ist eine webbasierte Lösung für die Verwaltung von Unternehmenspasswörtern, die es Unternehmen ermöglicht, Passwörter sicher zu speichern, die Lösung in ihre Anwendungen zu integrieren und Passwörter in einer Reihe von Systemen zurückzusetzen, unter anderem. Die Software wird von 29.000 Kunden und 370.000 Sicherheits- und IT-Fachleuten weltweit genutzt, darunter mehrere Fortune-500-Unternehmen aus Branchen wie Banken, Versicherungen, Verteidigung, Regierung, Bildung und Fertigung.

Laut einer ersten Analyse des dänischen Sicherheitsunternehmens CSIS Group kam das mit Malware verseuchte Update in Form einer ZIP-Archivdatei, “Passwordstate_upgrade.zip”, die eine modifizierte Version einer Bibliothek namens “moserware.secretsplitter.dll” enthielt (VirusTotal-Einträge hier und hier).

Diese Datei wiederum nahm Kontakt mit einem Remote-Server auf, um eine Nutzlast der zweiten Stufe (“upgrade_service_upgrade.zip”) zu holen, die Passwordstate-Daten extrahierte und die Informationen zurück in das CDN-Netzwerk des Gegners exportierte. Laut Click Studios wurde der Server am 22. April um 7:00 Uhr UTC abgeschaltet.

[Blocked Image: https://thehackernews.com/images/-2ibgW7bDKMc/YHc_0pMR5EI/AAAAAAAA3w8/EE6wVpkGbUY0VZP5aow4-q3xEzY1SGWFwCLcBGAsYHQ/s728-e100/thn-728-6.png]

Die vollständige Liste der kompromittierten Informationen umfasst den Computernamen, den Benutzernamen, den Domänennamen, den aktuellen Prozessnamen, die aktuelle Prozess-ID, die Namen und IDs aller laufenden Prozesse, die Namen aller laufenden Dienste, den Anzeigenamen und Status, die Proxy-Server-Adresse der Passwordstate-Instanz, Benutzernamen und Kennwörter.

Click Studios hat ein Hotfix-Paket veröffentlicht, das Kunden helfen soll, die manipulierte DLL des Angreifers zu entfernen und mit einer legitimen Variante zu überschreiben. Das Unternehmen empfiehlt außerdem, dass Unternehmen alle Anmeldedaten zurücksetzen, die mit externen Systemen (Firewalls, VPN) sowie interner Infrastruktur (Speichersysteme, lokale Systeme) und allen anderen in Passwordstate gespeicherten Passwörtern verbunden sind.

Die Sicherheitslücke bei Passwordstate kommt in einer Zeit, in der Angriffe auf die Lieferkette eine neue Bedrohung für Unternehmen darstellen, die für ihren täglichen Betrieb auf Software von Drittanbietern angewiesen sind. Im Dezember 2020 installierte ein Rogue-Update für die Netzwerkmanagement-Software SolarWinds Orion eine Backdoor in den Netzwerken von bis zu 18.000 Kunden.

Letzte Woche warnte das Software-Audit-Startup Codecov, dass seine Software bereits am 31. Januar mit einer Backdoor infiziert wurde, um Zugriff auf Authentifizierungs-Tokens für verschiedene interne Software-Accounts von Entwicklern zu erhalten. Der Vorfall kam erst am 1. April ans Licht.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com