Passworte im Klartext...

von Thomas Bahn,
assono GmbH, Standort Kiel,

Passworte werden im Klartext in einer Datei auf dem Client-Rechner gespeichert, wenn die folgenden beiden Notes.ini-Variablen gesetzt sind:

KFM_ShowEntropy=1
Debug_Outfile=c:\pwdchange.txt


und der Benutzer das nächste Mal sein Passwort ändert.

Eigentlich ist diese Funktion nur zum Debuggen gedacht gewesen, ist aber aktiv im produktiven Code des Notes-Clients.

Risiken:
1. Wenn der Angreifer also entweder

  • selbst Zugriff hat auf die notes.ini des Benutzers oder
  • diesem eine Notes-interne E-Mail mit entsprechendem Code schickt und der Empfänger diesen ausführt oder
  • eine Notes-Anwendung entsprechend programmiert und der Benutzer diese ausführt

    und
    2. der Benutzer den Notes-Client neu startet

    und
    3. sein Passwort ändert

    und
    4. der Angreifer anschließend Zugriff hat auf die erzeugte Datei und auf die ID-Datei des Benutzers

    dann
    kann er sich gegenüber Notes als dieser Benutzer ausweisen.

    Abwehrmaßnahmen:
  • Ab Notes 6 gibt es die Möglichkeit, notes.ini-Variablen über Desktop-Richtlinien zu verteilen. Das sollte man jetzt vorsorglich tun.
  • IBM hat zugesagt, dass die Notes.ini-Variable in den kommenden Versionen 7.0.3 und 8.0 entfernt sein wird.
  • Grundsätzlich ist die ID-Datei jedes Benutzers so zu schützen, dass nur er selbst Zugriff darauf hat.
  • Die ECL (Excecution Control List) sinnvoll vorbelegen und die Benutzer schulen, so dass die entsprechenden Warnmeldungen einen Sinn haben. Signiert man Anwendungen immer mit einer eigenen ID, kann man so Fehlalarme weitestgehend reduzieren.

    Persönliche Anmerkung: Erzwungene regelmäßige Passwortwechsel sind jetzt also nicht mehr nur riskant, weil die Benutzer entweder zu einfachen Passworten oder zum Aufschreiben tendieren...

    Quellen:
    Huge security hole in Notes (by Volker Weber)
    Lotus Notes legt Benutzerpasswort offen
    Password exposure in Lotus Notes
    Response to 'Password exposure in Lotus Notes'
Fachbeitrag IBM Notes IBM Notes Traveler Sicherheit

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie wollen eine individuelle Lösung? Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen oder möchten eine Demo anfordern?

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Gerne erstellen wir eine individuelle Demo für Sie.

Wir verwenden Ihre Daten, um Sie einmalig per E-Mail zu kontaktieren. Wir geben Ihre Daten nicht an Dritte weiter. Siehe: Datenschutzhinweise
assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Techn. Hotline: +49 4307 900 403
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de