Sicherheitslücke im Passwort-Manager Bitwarden: Master-Schlüssel war für alle lesbar
Der Passwort-Manager Bitwarden, der die Authentifizierung mit Windows Hello unterstützt, hatte bis vor Kurzem eine Sicherheitslücke, durch die lokale Prozesse oder Nutzer biometrisch gesicherte Passwort-Vaults von Bitwarden öffnen konnten. Diese Schwachstelle war auf die fehlerhafte Nutzung des Windows Credential Guard zurückzuführen, der den Master-Schlüssel speichert und diesen sogar ohne den biometrischen Windows-Hello-Test preisgeben konnte.
Während der Aktivierung der biometrischen Entsperrung in Bitwarden Desktop für Windows erstellt die Anwendung einen Master-Schlüssel und speichert ihn in den Windows Credentials des aktiven Nutzers. Durch eine inkorrekte Implementierung konnte dieser Master-Schlüssel durch den Aufruf der Windows-API-Funktion ausgelesen werden, was es Angreifern ermöglichte, die lokal gespeicherten Daten in %appdata%\Bitwarden\data.json
zu entschlüsseln, ohne einen Biometrie-Prompt zu aktivieren. Die Datei data.json
war von jedem Programm zugänglich, ohne erhöhte Rechte zu benötigen.
Um dieses Problem zu beheben, verschlüsselt Bitwarden nun den Master-Schlüssel vor dem Speichern. Dies bedeutet, dass andere Anwendungen den Schlüssel weiterhin auslesen können, er jedoch verschlüsselt und somit unbrauchbar bleibt. Um den für die Entschlüsselung notwendigen Schlüssel zu erhalten, muss eine Anwendung die biometrische Entsperrung mit Windows Hello auslösen, was eine Nutzeranfrage auslöst. Dies ist der von Microsoft traditionell vorgesehene Weg für serverseitige Authentifizierung.
Darüber hinaus haben die Entwickler eine Option in den Einstellungen hinzugefügt, die erfordert, dass beim Start der App zunächst ein Passwort oder eine PIN eingegeben wird. Dies entspricht auch ihrer Empfehlung für eine sichere Konfiguration. Die Entwickler empfehlen, diese neue Option zu aktivieren, um die Sicherheit unter Windows zu verbessern.
Ab der Version 2023.4.0 ist der Bitwarden-Windows-Client gegen diese Schwachstelle gewappnet. Benutzer, die noch nicht automatisch auf den neuen Stand gebracht wurden, sollten die aktuelle Version von der Downloadseite von Bitwarden herunterladen und installieren.