FIDO2-Sticks: Lücke in Yubikey-Verwaltungssoftware erlaubt Rechteausweitung
Um die FIDO2-Sticks von Yubikey zu verwalten, stellt der Hersteller eine Software bereit. Eine Lücke darin ermöglicht die Ausweitung der Rechte.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Software Yubikey Manager für die Verwaltung von Yubikey-FIDO2-Sticks enthält eine Sicherheitslücke. Bösartige Akteure können ihre Rechte im System dadurch ausweiten. Ein Update dichtet das Sicherheitsleck ab.
Wie Yubikey in einer Sicherheitsmitteilung schreibt, können insbesondere Nutzer und Nutzerinnen unter Windows, die das Programm Yubikey Manager GUI als Administrator ausführen, durch den Manager Browser-Fenster öffnen, die mit Admin-Rechten versehen sind. Lokale Angreifer können das missbrauchen, um Aktionen mit Administratorrechten auszuführen (CVE-2024-31498, CVSS 7.7, Risiko "hoch"). In manchen Situationen öffne die Manager-Software den Standardbrowser des Systems als Child-Prozess. Das passiere nicht automatisch, sondern dazu sei Nutzerinteraktion nötig.
Yubikey Manager: Lücke nur unter Windows?
Einige Webbrowser wie Microsofts Edge implementierten jedoch zusätzliche Schutzmaßnahmen, die das Öffnen als Administrator verhinderten, schreiben Yubikeys Entwickler. Betroffen sei die Software Yubikey Manager GUI, auch als ykman-gui bekannt, vor der Version 1.2.6. Das Problem betreffe ausschließlich Windows, da Windows administrative Rechte zur Interaktion mit FIDO-Authenticators verlange. In anderen Betriebssystemen sollte Yubikey Manager GUI schlicht nicht mit Admin-Rechten gestartet werden. Dies sollten Nutzer unter macOS oder Linux daher prüfen und sicherstellen.
Die Yubikey-Geräte selbst seien von der Sicherheitslücke nicht betroffen, erklärt das Unternehmen weiter. Nutzerinnen und Nutzer des Yubikey Manager-Programms sollten die aktuelle Fassung von der Yubikey-Webseite herunterladen und installieren. Das korrigiert die sicherheitsrelevanten Fehler in der Software.
Verwaltungssoftware ist nicht für alle FIDO2-Sticks sinnvoll: einige Sicherheitsschlüssel sind nicht verwaltbar. Wie sich jüngst herausstellte, bietet etwa Googles Titan-Sicherheitsschlüssel keine Funktionen zum Auflisten oder Löschen einzelner Passkeys. Lediglich das Rücksetzen auf Werkseinstellungen ist möglich, was den Verlust aller darauf gespeicherter Passkeys nach sich zieht.
(dmk)