Important Security Updates for Our Users

Update March 25, 2017 (5:00pm): Our team is currently investigating a new report by Tavis Ormandy and will update our community when we have more details. Thank you.

Incident-Report: 22. März 2017 (14:30 Uhr)

Wir möchten unsere Nutzergemeinde über die kürzlich von Tavis Ormandy, einem Sicherheitsforscher aus Googles Project-Zero-Team, gemeldeten Sicherheitslücken auf dem Laufenden halten.

Dieser Beitrag ist relativ lange; die Zusammenfassung informiert Sie über die wichtigsten Punkte, während die darauffolgende ausführliche Beschreibung näher ins Detail geht.

Zusammenfassung

  • Vor kurzem wurden von Sicherheitsforscher Tavis Ormandy zwei Schwachstellen identifiziert.
  • Unsere bisherigen Ermittlungen geben keinen Hinweis darauf, dass vertrauliche Benutzerdaten verloren gingen oder kompromittiert wurden.
  • Alle Browsererweiterungen wurden mit Patches versehen und als neue Versionen zur Veröffentlichung eingereicht.
  • Unsere mobilen Apps für Android und iOS waren nicht betroffen.
  • Es ist keine Änderung Ihres Master-Passworts erforderlich.
  • Es sind keine Änderungen von Website-Zugangsdaten erforderlich.
  • Bitte stellen Sie sicher, dass Sie die neuesten Versionen verwenden:
    • Die meisten User nutzen wahrscheinlich die automatischen Updates; die neuesten Versionen stehen aber auch unter com/download zum Download zur Verfügung.
    • Bitte überprüfen Sie Ihre Version, indem Sie auf das LastPass-Symbol klicken und dann auf Weitere Optionen > Über LastPass.
      • Firefox: 4.1.36
      • Chrome: 4.1.43.82
      • Edge: 4.1.30 (Genehmigung von Microsoft noch ausstehend)
      • Opera: 4.1.28 (Genehmigung von Opera noch ausstehend)

Was ist passiert?

Tavis Ormandy, ein Forscher aus Googles Project-Zero-Team, informierte unser Team in der letzten Woche über zwei Sicherheitslücken, die viele LastPass-Browsererweiterungen betrafen. Die gemeldeten Probleme betrafen sowohl Privat- als auch Geschäftsanwender.

Um die entdeckten Schwachstellen auszunutzen, müsste ein Angreifer den Benutzer erst auf eine präparierte Website locken. Sobald der User auf dieser schädlichen Website ist, könnte der Angreifer – wie von Ormandy gezeigt – LastPass-API-Aufrufe machen oder in machen Fällen willkürlichen Code ausführen, während er sich als vertrauenswürdige Partei ausgibt. Auf diese Weise könnte es dem Angreifer gelingen, Informationen wie Zugangsdaten aus dem LastPass-Konto des Benutzers abzurufen und offenzulegen.

Fehler im Firefox-Add-on 3.3.2, der ein Abfangen von Nachrichten möglich machte

Gemeldetes Problem:
Aufgrund unseres URL-Parsing-Prozesses im Firefox-Add-on 3.3.2 konnten sich schädliche Websites als legitim ausgeben und das LastPass-Add-on dazu bringen, die Zugangsdaten des Benutzers für diese Website einzugeben.

Dieser Fehler wurde unserem Team letztes Jahr gemeldet und zu diesem Zeitpunkt behoben. Die Korrektur wurde jedoch nicht in unseren veralteten Versionszweig 3.3.x übertragen, der im April 2017 offiziell aus dem Verkehr gezogen wird.

Was Sie wissen müssen:

Website-Connector-Fehler

Gemeldetes Problem:
Ein Problem mit der Architektur einer Benutzer-Onboarding-Funktion betraf Clients, in denen dieser Code zum Einsatz kam (Chrome, Firefox, Edge). Schädliche Websites konnten LastPass täuschen, indem sie sich als vertrauenswürdige Partei ausgaben, und Website-Zugangsdaten stehlen. User, die die Binärkomponente verwenden (weniger als zehn Prozent aller LastPass-Benutzer) konnten außerdem Opfer eines Remote-Exploits werden, wenn sie auf eine präparierte Website gelockt wurden.

Dieser Fehler schlich sich im August 2016 bei der Veröffentlichung unserer experimentellen Onboarding-Funktion für Benutzer ein. Der Code ist jedoch in allen LastPass-Clients für Chrome, Firefox und Edge präsent.

Nach Bekanntwerden der Sicherheitslücke deaktivierte das LastPass-Team den gefährdeten Dienst sofort und begann mit der Aktualisierung aller betroffenen Clients.

Während wir mit der clientseitigen Korrekturmaßnahme beschäftigt waren, berichtete Ormandy auf Twitter über ein weiteres Problem (die Nachricht wurde inzwischen gelöscht). Dabei handelte es sich um dasselbe Problem, allerdings in einem anderen Browser. Dies führte zu Verwirrungen bezüglich des Ausmaßes der Sicherheitslücke und des Status der Fehlerkorrekturen.

Was Sie wissen müssen:

  • Wir haben Updates für alle betroffenen Clients zur Veröffentlichung eingereicht, die diese Schwachstelle komplett beseitigen.
  • Die Chrome- und Firefox-Clients wurden bereits veröffentlicht; für Edge und Opera ist die Genehmigung der App Stores noch ausstehend.
  • Im Rahmen dieses Prozesses führten wir eine eingehende Analyse aller anderen Erweiterungen (sowie unserer Installationsprogramme) durch, in denen dieser Code zum Einsatz kommt.

Vollständiger zeitlicher Überblick (Eastern Time, US-Ostküste):

Fehler im Firefox-Add-on 3.3.2, der ein Abfangen von Nachrichten möglich machte

  • März: LastPass gibt offizielle Einstellung der Versionen 3.3.x des Firefox-Add-ons bekannt
  • März, 22:45 Uhr: Schwachstelle im Firefox-Add-on 3.3.2, die ein Abfangen von Nachrichten möglich machte, wird bekannt
  • März, 22:48 Uhr: LastPass erhält Details zum Fehler im Firefox-Add-on 3.3.2 und leitet eine Untersuchung ein
  • März, 8:43 Uhr: LastPass reicht mit Firefox-Add-on 3.3.4 einen Patch bei Mozilla ein

Website-Connector-Fehler

  • März, 19:20 Uhr: Website-Connector-Fehler in Chrome-Erweiterung 4.1.42 wird bekannt
  • März, 19:36 Uhr: LastPass leitet eine funktionsübergreifende Sicherheitsuntersuchung ein
  • März, 0:15 Uhr: LastPass deaktiviert den fehlerhaften Dienst auf Serverseite
  • März, 7:04 Uhr: LastPass meldet, dass ein serverseitiges Workaround verfügbar ist, während der Code eingehend analysiert wird und Probleme auf Clientseite vollständig behoben werden
  • März, 0:10 Uhr: LastPass veröffentlicht Firefox-Add-on 4.1.36 mit einer Fehlerkorrektur
  • März, 12:07 Uhr: LastPass veröffentlicht Chrome-Erweiterung 4.1.43.82 mit einer Fehlerkorrektur
  • März, 13:55 Uhr: LastPass reicht Edge-Erweiterung 4.1.30 zur Veröffentlichung ein
  • März, 14:49 Uhr: LastPass veröffentlicht Opera-Erweiterung 4.1.28 inklusive Fehlerkorrektur auf LastPass.com/download; Veröffentlichung im Store noch ausstehend

Zur Erinnerung: bewährte Vorgehensweisen für Ihre persönliche Sicherheit

Wir wissen, dass LastPass-User stets den „Best Practices“ zu folgen versuchen, wenn es um die Passwortsicherheit geht. Hier finden Sie zur Erinnerung einige hilfreiche Strategien, um Ihre Geräte und Daten bestmöglich zu schützen:

  • Nehmen Sie sich vor Phishing-Angriffen in Acht. Klicken Sie auf keine Links von Unbekannten und auch auf keine verdächtig erscheinenden Links von Kontakten und Unternehmen, denen Sie normalerweise vertrauen.
  • Verwenden Sie für jeden Online-Account ein anderes Passwort, das es nur einmal gibt.
  • Verwenden Sie für Ihr LastPass-Konto ein starkes und sicheres Master-Passwort und teilen Sie es niemandem mit; auch nicht uns.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung für LastPass und andere Dienste wie Ihr Online-Banking, Ihren E-Mail-Account, Twitter, Facebook usw.
  • Schützen Sie Ihren Computer vor Bedrohungen, indem Sie einen Virenscan machen und Ihre Software stets auf dem neuesten Stand halten.

Blick in die Zukunft

Um derartige Probleme in Zukunft zu vermeiden, überarbeiten und verbessern wir unsere derzeit gültigen Codeüberprüfungs- und Sicherheitsprozesse; insbesondere rund um neue und experimentelle Funktionen.

Es versteht sich von selbst, dass die Sicherheit für LastPass das A und O ist. Wir möchten mit maximaler Transparenz auf diese Probleme reagieren und schätzen die Arbeit, die Tavis Ormandy, Project Zero und andere White-Hat-Forscher leisten, sehr. Wir alle profitieren davon, wenn dieses Sicherheitsmodell für die verantwortungsbewusste Meldung von Fehlern funktioniert, und sind überzeugt, dass uns die dadurch auf LastPass gelenkte Aufmerksamkeit stärker macht. Wir begrüßen es jedes Mal, wenn ein Forscher im Rahmen unseres Bug-Bounty-Programms unter https://bugcrowd.com/lastpass einen Beitrag leistet.

———-

  1. März 2017 (11:12 Uhr)

In der vergangenen Woche haben wir gemeinsam mit Google-Sicherheitsforscher Tavis Ormandy an der Untersuchung und Behebung der gemeldeten Schwachstellen gearbeitet. Bitte entschuldigen Sie die verzögerte Rückmeldung – wir haben diese Meldungen eingehend analysiert, um Ihnen so viele Details wie möglich mitteilen zu können. Wir werden in Kürze eine Post-mortem-Analyse veröffentlichen, wollten unserer Nutzergemeinde aber bereits jetzt eine kurze Übersicht geben.

Was ist passiert?
Am Abend des 20. März wurde uns ein Problem mit unserer Chrome-Erweiterung 4.1.42.80 gemeldet. Wir haben es sofort untersucht und innerhalb weniger Stunden ein serverseitiges Workaround veröffentlicht. Der Exploit betraf alle LastPass-Clients – Chrome, Firefox, Edge –, in denen eine experimentelle Benutzer-Onboarding-Funktion eingeführt wurde.

Später, am 21. März, wurde uns ein weiteres Problem betreffend das Firefox-Add-on 4.1.35a gemeldet. Diese Schwachstelle ist in Wirklichkeit nahezu identisch mit der am Vortag gemeldeten Sicherheitslücke, betraf in diesem Fall aber das Firefox-Add-on 4.x. Das Problem wäre mit der vollständigen Fehlerkorrektur, die auf das Workaround folgte, behoben gewesen; wir erhielten die Meldung jedoch, bevor wir die Fehlerkorrektur veröffentlichen konnten. Heute um etwa 0:15 Uhr ET wurde ein Update – Firefox-Add-on 4.1.36a – veröffentlicht, das speziell auf diese Fehlermeldung eingeht.

Diese Fehlerkorrekturen werden an alle Benutzer gepusht und die meisten Add-ons sollten automatisch aktualisiert werden.

Es gibt keinerlei Hinweise darauf, dass die gemeldeten Sicherheitslücken tatsächlich ausgenutzt wurden. Wir führen derzeit aber eine eingehende Überprüfung durch, um dies zu bestätigen. Wir werden in Kürze eine detailliertere Beschreibung der Ereignisse mit allem, was unsere Nutzergemeinde wissen muss, veröffentlichen. Derzeit besteht keine Notwendigkeit, Ihr Passwort zu ändern