Neuer Angriff auf die Lieferkette betrifft Passwort-Manager Passwordstate
Hacker schleusen ein gefälschtes Update ein. Es enthält eine speziell gestaltete DLL-Datei mit Schadcode. Der Entwickler fordert betroffene Kunden auf, alle mit Passwordstate verwalteten Kennwörter als kompromittiert zu betrachten.
Der australische Softwareentwickler ClickStudios hat einen Einbruch in seine IT-Systeme bestätigt. Als Folge verteilte das Unternehmen über einen Zeitraum von 28 Stunden ein von Hackern manipuliertes automatisches Updates für seinen Passwort-Manager Passwortstate.
Der Vorfall ereignete sich demnach zwischen dem 20. und 22. April. “Erste Analysen deuten darauf hin, dass ein bösartiger Akteur mit ausgeklügelten Techniken die In-Place-Upgrade-Funktionalität kompromittiert hat. Die ursprüngliche Kompromittierung erfolgte beim Upgrade Director auf der ClickStudios-Website. Der Upgrade Director verweist das In-Place-Upgrade auf die entsprechende Version der Software, die sich im Content Distribution Network befindet. Die Kennwörter der betroffenen Kunden wurden möglicherweise abgegriffen.”
Das Unternehmen betont, dass nur Kunden betroffen sind, die über die Passwordstate-App ein In-Place-Upgrade durchgeführt haben. Im Fall eines manuellen Upgrades in diesem Zeitraum seien keine Kennwörter kompromittiert worden.
Der Sicherheitsanbieter CSIS Security Group entdeckte den Angriff im Rahmen einer Prüfung bei ClickStudios. “Wie von ClickStudios empfohlen, sollten Sie, wenn Sie Passwordstate verwenden, alle gespeicherten Passwörter zurücksetzen, insbesondere von VPNs, Firewall, Switches, lokalen Konten oder jegliche Server-Passwörter”, teilte CSIS mit.
Der Passwort-Manager Passwortstate kommt vor allem bei Unternehmen zum Einsatz. Er wird für die Verwaltung von lokalen Administrator-Konten in Netzwerken, Active Directory und Remote-Sitzungen eingesetzt. Weitere Funktionen unterstützen Auditioning und Compliance-Berichte, Zugangskontrollen und eine Zwei-Faktor-Authentifizierung.
Seinen Nutzern empfiehlt ClickStudios, die Größe der Datei “moserware.secretspillter.dll” im Verzeichnis “c:\inetpub\passwordstate\bin\” zu pürfen. Sollte die Datei 65 KByte groß sein, sei von einer Infektion auszugehen. Das Unternehmen fordert Kunden im Fall auf, den Support zu kontaktieren, der dann unter anderem einen Hotfix zur Verfügung stellen soll.
