Datenklau durch Browser-Erweiterungen

IT-Experten haben eine Lücke in Browser-Erweiterungen von Passwort-Managern entdeckt, die das Stehlen von Zugangsdaten erlaubt. 
 
Eigentlich sollen Passwort-Manager den Umgang mit vielen verschiedenen Passwörtern vereinfachen. Dazu bringen sie meist Browser-Erweiterungen mit, die Formularfelder mit Zugangsdaten automatisch befüllen können. IT-Experten haben eine Schwachstelle in den Browser-Erweiterungen diverser Passwort-Manager aufgedeckt, durch die bösartige Webseiten Zugangsdaten mit einer Clickjacking-Attacke abgreifen können.
 
Clickjacking-Angriffe sind eigentlich altbekannt. Dabei schieben Angreifer unsichtbare Elemente etwa vor Dialoge, und die Klicks der Besucher landen dann auf dem unsichtbaren Element und nicht in dem gewünschten Feld. Neu ist der DOM-basierte Angriff auf die Browser-Erweiterungen, den die IT-Experten auf der Defcon 33 vorgestellt haben.
 
Den grundsätzlichen Angriff beschreiben die IT-Experten folgendermaßen. Zunächst muss eine bösartige Webseite ein Element aufweisen, das den Zugriff auf die Seite verwehrt, etwa ein Cookie-Banner, ein Captcha oder ähnliches. Die Webseite selbst benötigt ein Formular, etwa für persönliche Daten, wie ein Log-in. Für das Formular setzen Angreifer die Opacity (Deckkraft) auf 0.001, es wird dadurch unsichtbar. Mit der Funktion focus() wird nun das Formularfeld aktiviert, woraufhin das Dropdown-Menü zum Ausfüllen des Passwort-Managers erscheint. Neu ist nun, dass mit dem vorgestellten Angriff über das Document Object Model (DOM) das User-Interface der Browser-Erweiterung ebenfalls unsichtbar gemacht werden kann, indem die Deckkraft reduziert wird – hier passiert nun das DOM-basierte Clickjacking in der Browser-Erweiterung: Opfer klicken vermeintlich auf das Cookie-Banner oder Captcha und landen dabei auf dem unsichtbaren Dialog der Browser-Erweiterung. Die füllt die Formularfelder aus, die Angreifer gelangen an die Einträge im Formular.
 

Anfällige Passwortmanager

Die IT-Experten haben folgende Passwort-Manager untersucht: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm. Bei den Tests setzten diese das manuelle Ausfüllen von Formularen durch die Passwort-Manager-Erweiterungen.
 
Bei den meisten Passwort-Managern können Angreifer nicht-Domain-spezifische Informationen wie Kreditkartendaten oder persönliche Daten wie Name, Telefonnummer, Anschrift und so weiter mit bösartig aufgesetzten Webseiten auslesen.
 
Um an Zugangsdaten und sogar Zwei-Faktor-Daten zu kommen, müssen Angreifer eine Webseite mit Cross-Site-Scriping-Schwachstellen finden, Subdmains übernehmen, Web-Cache-Poisoning oder ähnliches erreichen und die Passwort-Manager so konfigurieren, dass sie die Subdomains nicht berücksichtigen – in der Regel die Standardeinstellung bei den Passwort-Managern, erörtern die IT-Experten. Als Beispiel führt man an, dass etwa eine Cross-Site-Scripting-Lücke in "test.dev.sandbox.cloud.google.com" genügt, um an die Zugangsdaten zu "accounts.google.com" zu gelangen. Sie erklären zudem einen weiteren Angriff, mit dem sich in einigen Fällen sogar Passkeys mit der Clickjacking-Attacke missbrauchen und von Angreifern neue Sessions öffnen lassen.
 
Bis Dienstag dieser Woche haben Dashlane, Keeper, Nordpass, ProtonPass und RoboForm die Schwachstellen gefixt. LastPass hat die Preisgabe nicht-Domain-spezifischer Informationen bereits eingehegt. Inzwischen steht auch von Bitwarden die Version 2025.8.0 bereit. Der Klick auf "Hilfe" – "Nach Aktualisierungen suchen..." bietet das Herunterladen und Installieren der Aktualisierung an. In den Browser-Stores kommt die aktualisierte Erweiterung etwas später, da sie dort noch einen Review-Prozess durchlaufen muss. Inzwischen hat zudem auch Enpass aktualisierte Browser-Erweiterungen herausgegeben.
 
Sie nennen einige Empfehlungen, mit denen sich Nutzer schützen können sollen. Dazu gehört das Aktivieren der automatischen Aktualisierung sowie das Sicherstellen, die jüngste Version des Passwort-Managers einzusetzen. Noch bietet jedoch nicht jeder Hersteller Updates an. Das Deaktivieren des automatischen Ausfüllens hilft dem Problem ab, dann müssen Nutzer jedoch Nutzernamen und Passwörter manuell kopieren. Ebenfalls hilfreich ist die Einstellung "Exakte Übereinstimmung der URL". In Chromium-basierten Browsern sei zudem möglich, konkret in den Einstellungen der Browser-Erweiterungen in Chromium anstatt "Auf allen Webseiten" erst "Bei Klick" Zugriff zu gewähren. Erst nach Klick auf das Erweiterungs-Icon rechts neben der Adressleiste lässt sich dann eine Erweiterung nutzen.
 
IT-Experten finden gelegentlich einige Schwachstellen in Passwort-Managern. Etwa im vergangenen Oktober hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Codeanalyse bei Vaultarden und KeepPass vorgenommen und stieß auf einige Sicherheitslecks.

Attacken auf Firewalls

Verschiedene IT-Experten warnen vor Attacken auf Firewalls von Sonicwall. Vieles ist derzeit aber noch unklar. 
 
Das IT-Unternehmen Sonicwall untersucht derzeit mögliche Attacken auf seine Firewalls der Gen-7-Serie. Davor warnen mehrere IT-Experten unabhängig voneinander. Auch intern wurden eigenen Angaben zufolge Unregelmäßigkeiten dokumentiert. Möglicherweise nutzen Angreifer derzeit eine Zero-Day-Sicherheitslücke aus. Dabei handelt es sich um eine Schwachstelle, für die es noch kein Sicherheitsupdate gibt.
 

Hintergründe

Nun nimmt Sonicwall zu den Berichten der IT-Experten von unter anderem der Infotastisch Group Stellung. Bei den möglichen Attacken sollen Angreifer Gen-7-Firewalls mit aktivierter SSL-VPN-Funktion im Visier haben.
 
Die IT-Experten der Infotastisch Group geben in ihrem Bericht an, dass Angreifer durch das Ausnutzen einer Zero-Day-Lücke die Multi-Faktor-Authentifizierung (MFA) umgehen und so Ransomware auf Systeme schieben. Sie berichten, dass Angreifer nach erfolgreichen Attacken Domänencontroller übernehmen. Die Experten empfehlen, den VPN-Service, der offensichtlich das Einfallstor ist, zu deaktivieren oder ihn nur für bestimmte IP-Adressen zugänglich zu machen.
 

Instanzen absichern

Auch wenn derzeit noch vieles unklar ist und Sonicwall davon noch nichts konkret bestätigt hat, empfiehlt auch das IT-Unternehmen den VPN-Service temporär zu deaktivieren oder Zugriff streng zu filtern. Außerdem sollten Kunden die Sicherheitsfeatures Botnet Protection, MFA und Geo-IP Filtering aktivieren. Zusätzlich sollten Admins ihnen unbekannte Accounts umgehend entfernen. 
 
Sonicwall erläutert, mit den IT-Experten zusammenzuarbeiten und neue Erkenntnisse umgehend mit Kunden zu teilen. Außerdem versichern sie, im Falle einer Sicherheitslücke umgehend ein Update auszuliefern. Derzeit dauern die Untersuchungen noch an.