Sicherheitsexperten der secuvera GmbH haben kürzlich eine kritische Schwachstelle in verschiedenen sicherheitsrelevanten Anwendungen aufgedeckt, darunter VPN-Clients und Passwortmanager. Die Untersuchung zeigte, dass vertrauliche Informationen wie Passwörter und Anmeldeinformationen auch nach der Abmeldung von Benutzern im Klartext im Prozessspeicher verbleiben und somit für potenzielle Angreifer zugänglich sind.

Diese Schwachstelle ist als CWE-316 klassifiziert, was bedeutet, dass sensible Informationen im Speicher unverschlüsselt abgelegt werden. Das klingt fast wie ein schlechter Witz: Da nutzen wir VPNs und Passwortmanager, um unsere Daten zu schützen, und dann liegen diese dennoch wie auf einem Silbertablett im Speicher bereit.

Gefährliche Schwachstelle in sicherheitsrelevanten Anwendungen

Im Rahmen der Untersuchung wurden diverse Anwendungen getestet, die eigentlich für den Schutz sensibler Daten entwickelt wurden. Dazu gehörten bekannte VPN-Clients und Passwortmanager. Doch das Ergebnis war ernüchternd: In vielen dieser Programme blieben die vertraulichen Informationen, selbst nach dem Abmelden, im Prozessspeicher vorhanden. Besonders brisant: Sogar Masterpasswörter von Passwortmanagern wurden gefunden.

Das Problem liegt darin, dass Malware, die einmal auf einem Rechner installiert ist, in der Lage ist, den Speicher anderer Prozesse auszulesen. Wenn dann Passwörter und andere vertrauliche Informationen unverschlüsselt im Speicher liegen, wird es für Angreifer ein Leichtes, diese auszulesen und zu missbrauchen.

Lösungsansätze: Workarounds statt Wundermittel

Für dieses sicherheitskritische Problem gibt es leider keine einfache Lösung. Da die Daten zum Zeitpunkt der Nutzung der Programme entschlüsselt und im Klartext in den Speicher geladen werden, bleibt ein gewisses Risiko bestehen. Entwickler sind jedoch gefordert, dieses Risiko zu minimieren, indem sie Mechanismen implementieren, die sicherstellen, dass sensible Daten aus dem Speicher gelöscht oder sicher überschrieben werden, sobald sie nicht mehr benötigt werden oder der Benutzer die Anwendung schließt.

Unterschiedliche Reaktionen der Hersteller

Die Reaktionen der betroffenen Hersteller waren unterschiedlich. Während einige, wie CyberGhost VPN, die Schwachstellen anerkannten und bereits Sicherheitsupdates veröffentlichten, verhielten sich andere weniger kooperativ. Einige Hersteller blieben untätig, andere untersagten sogar die Nennung ihres Namens und der Testergebnisse. Diese Reaktion zeigt einmal mehr, dass Transparenz in der IT-Sicherheit leider nicht immer selbstverständlich ist.

Weitere Details zu dieser Untersuchung und den betroffenen Anwendungen finden sich im Blogartikel von secuvera. Angesichts dieser Entdeckungen ist es ratsam, nicht nur auf Sicherheitsupdates der betroffenen Programme zu achten, sondern auch das eigene Sicherheitsbewusstsein zu schärfen.

Fazit: Vertrauen ist gut, Kontrolle ist besser

Die Entdeckung dieser Schwachstelle zeigt eindrücklich, dass selbst Programme, die eigentlich unsere sensiblen Daten schützen sollen, nicht unfehlbar sind. Nutzer sollten sich dessen bewusst sein und darauf achten, ihre Systeme regelmäßig auf dem neuesten Stand zu halten und, wenn möglich, alternative Sicherheitsmaßnahmen in Betracht ziehen. Denn letztlich gilt: Vertrauen ist gut, Kontrolle ist besser.