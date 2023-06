Bis vor Kurzem konnten lokale Prozesse oder Nutzer unter Windows biometrisch gesicherte Passwort-Vaults von Bitwarden öffnen. Ursache war die inkorrekte Nutzung des Windows Credential Guard, der die biometrischen Schlüssel speichert, aber die Zugangsdaten auch ohne konkreten Windows-Hello-Test preisgegeben hat.

Bitwarden: Windows Hello anders genutzt als dokumentiert

Beim Aktivieren der biometrischen Entsperrung in Bitwarden Desktop für Windows legt die Anwendung einen biometrischen Master-Schlüssel an und speichert ihn in den Windows Credentials des aktiven Nutzers. Die fehlerhafte Umsetzung erlaubte es Angreifern, durch den Aufruf der Windows-API-Funktion CredRead diesen Master-Schlüssel auszulesen und damit die lokal gespeicherten Daten in %appdata%\Bitwarden\data.json zu entschlüsseln – ohne dass es zu einem Biometrie-Prompt kommt. Die Datei data.json ist von jedem Programm zugreifbar, ohne erhöhte Rechte (CVE-2023-27706, CVSS 6.2, Risiko "mittel").

Wie die Bitwarden-Entwickler im Verlauf der Sicherheitsmeldung auf Hackerone erklären, haben sie das Problem gelöst, indem Windows Hello eine Challenge signiert, mit der der biometrische Bitwarden-Schlüssel vor dem Abspeichern verschlüsselt wird. Dadurch könnten weiterhin andere Anwendungen das Geheimnis zwar auslesen, aber es bleibt verschlüsselt und unbenutzbar. Zum Entschlüsseln muss eine App die biometrische Entschlüsselung mit Windows Hello anstoßen, was eine Nachfrage bei Nutzern auslöst. Dies sei der dokumentierte Weg, den Microsoft für serverseitige Authentifizierung traditionell vorsieht.

Außerdem haben die Entwickler in den Einstellungen die Option ergänzt, dass beim Start der App zunächst ein Passwort oder eine PIN einzugeben ist. Das entspricht zudem auch ihrer Empfehlung für eine sichere Konfiguration.

Die Entwickler empfehlen, die neue Option "Passwort oder PIN beim Start der App verlangen" zu aktivieren. Dies verbessere die Sicherheit unter Windows. (Bild: Screenshot / dmk)

Der Bitwarden-Windows-Client ist ab Version 2023.4.0 gegen diese Schwachstelle gewappnet. Wer noch nicht automatisch auf den neuen Stand gebracht wurde, sollte die aktuelle Version von der Downloadseite von Bitwarden herunterladen und installieren.

Die Windows-Hello-Funktion zum Entsperren von Bitwardens Passwort-Vaults hatte sich die c't vor rund einem Jahr bereits einmal angeschaut und war vom Komfort recht angetan. Wenn auch die allgemeine Empfehlung lautet, auf einen Passwort-Manager zu setzen, war im konkreten Beispiel Bitwarden das kostenlose Open-Source-Tool der Wahl.

(dmk)