Passwortmanager und VPN-Apps: Klartextpasswörter aus Prozessspeicher gelesen

Sicherheitsforscher von Secuvera haben die Windows-Anwendungen mehrerer gängiger Passwortmanager, VPN-Dienste und Antivirenprogramme auf mögliche Schwachstellen hin untersucht, die zur Offenlegung sensibler Informationen über den jeweiligen Prozessspeicher (CWE-316) führen könnten. Bei einigen der getesteten Anwendungen war es den Forschern möglich, Anmeldeinformationen wie Nutzernamen und Passwörter im Klartext auszulesen.

Wie aus einem Blogbeitrag der Forscher hervorgeht, waren Passwörter beispielsweise im Prozessspeicher von OpenVPN, Cyberghost VPN, Heylogin sowie im Speicher eines als XXX bezeichneten Passwortmanagers zu finden, dessen echten Namen Secuvera aufgrund möglicher juristischer Konsequenzen nicht nennen will, da der Anbieter den Forschern die Veröffentlichung der Schwachstelle verboten hat.

Keine Anfälligkeiten für Sicherheitslücken des Typs CWE-316 fanden die Sicherheitsforscher derweil bei den Anwendungen von NordVPN, ProtonVPN, Kaspersky, GData und Keepass.

Passwörter bleiben selbst nach Abmeldung im Speicher

Zum Auslesen des Prozessspeichers verwendeten die Forscher nach eigenen Angaben unter anderem ein Tool namens Processhacker. Damit habe das Forscherteam untersucht, "ob die getesteten Anwendungen Informationen von vorherigen Benutzern hinterlassen und ob sie zusätzlich anfällig für Speicherscans sind, die unter dem verwendeten Windows-Standardbenutzer (kein Administrator) gestartet werden", heißt es im Bericht.

Gesucht worden sei vor allem nach Passwörtern, die selbst nach der Abmeldung von der jeweiligen Anwendung im Prozessspeicher verbleiben – also zu einem Zeitpunkt, zu dem deren Verfügbarkeit im Speicher eigentlich gar nicht mehr erforderlich ist.

Die Sicherheitsforscher fanden allerdings nicht nur Passwörter: Je nach Anwendung entdeckten sie im jeweiligen Prozessspeicher auch E-Mail-Adressen, Nutzernamen, 2FA-Codes und Tokens. Beispielsweise nach einer erfolgreichen Malware-Infektion verschafft dies Angreifern weitreichende Möglichkeiten, Online-Konten fremder Nutzer zu infiltrieren.

Im Falle des als XXX bezeichneten Passwortmanagers fanden die Forscher zudem Hashes für die Benutzeranmeldung im Speicher. Angeblich ist es damit möglich, das zugehörige Nutzerkonto vollständig zu übernehmen und auf alle darin gespeicherten Passwörter zuzugreifen. "Ein Angreifer muss nicht einmal den Hash knacken. Es reiche schlicht, diesen in den Loginrequest an das Webportal einzutragen", heißt es im Blogbeitrag.

Gemischte Reaktionen der Hersteller

Secuvera informierte nach eigenen Angaben alle Hersteller der geprüften Anwendungen über ihre Entdeckungen. Cyberghost VPN stellte offenbar schon im März einen Patch (CVE-2024-26330) bereit, während ein weiterer nicht genannter VPN-Anbieter den Forschern zufolge noch an einem solchen arbeitet (CVE-2024-5476), der im Laufe des dritten Quartals erscheinen soll.

Alle übrigen Anbieter waren laut Secuvera nicht bereit, die Entdeckungen als Sicherheitslücken anzuerkennen und zu patchen. Einige hätten geantwortet, das sei "auf die eigene Threat-Modellierung zurückzuführen, welche einen lokalen Angriff auf ihre Desktop-Anwendungen nicht berücksichtigt", so die Forscher.