Laut IBM Trusteer versuchen Kriminelle, mithilfe eine Keyloggers die Master-Passwörter von Passwort-Managern zu stehlen. Demnach taucht in der Konfigurationsdatei des Banking-Trojaners Citadel, mit deren Hilfe er sonst die Anzeige der Bankenwebseiten im Browser manipuliert, ein Eintrag auf, der zum Angriff auf die weit verbreiteten Passwort-Manager Password Safe und KeePass dienen: Nach dem Start der Tools versucht Citadel durch einen Keylogger das Master-Passwort abzufischen.
Sobald die Malware das Master-Passwort hat, stehen dem Angreifer alle im Passwort-Tresor gespeicherten Passwörter offen – und damit quasi das komplette digitale Leben des Opfers. Passwörter gelten generell als unsicher, da sie in der Regel per Brute-Force- beziehungsweise Wörterbuchattacke zu erraten sind und ohne Zwei-Schritt-Authentifizierung keine wirklichen Schutz für sensible Daten bieten. Passwort Manager sollen hier Abhilfe schaffen, denn sie erzeugen komplexe Passwörter und verhindern das Passwort-Recycling.
Hat Citdadel das Master-Passwort mitgeschnitten, wird es an einen ansonsten unschuldigen Webserver geschickt, der offenbar von den Kriminellen kompromittiert wurde. Ob dies Teil eines größeren Angriffs ist, steht laut IBM Trusteer noch nicht fest.
Laut IBM Trusteer sind Passwort-Manager trotz des aktuellen Angriffs Passwort-Manager empfehlenswert. Denn ihr Einsatz verhindert Password-Recycling und schwache Passwörter. Zudem lassen sich die Tresore durch einen zweiten Faktor wie den Yubikey absichern: Ohne physischen Zugriff auf den Key lässt sich der Tresor nicht entsperren, selbst wenn das Master-Passwort bekannt ist. Im Fall des von der aktuellen Attacke nicht betroffenen Tools LastPass steht zudem eine Bildschirmtastatur zur Verfügung, über die das Master-Passwort eingegeben werden kann.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
from TechNet Blog Deutschland : sicherheit