Passworte werden im Klartext in
einer Datei auf dem Client-Rechner gespeichert, wenn die folgenden beiden
Notes.ini-Variablen gesetzt sind:
KFM_ShowEntropy=1
Debug_Outfile=c:\pwdchange.txt
und der Benutzer das nächste Mal sein
Passwort ändert.
Eigentlich ist diese Funktion nur zum Debuggen
gedacht gewesen, ist aber aktiv im produktiven Code des Notes-Clients.
Risiken:
1. Wenn der Angreifer also entweder
- selbst Zugriff hat auf die notes.ini des Benutzers oder
- diesem eine Notes-interne E-Mail mit entsprechendem Code schickt und der Empfänger diesen ausführt oder
- eine Notes-Anwendung entsprechend programmiert
und der Benutzer diese ausführt
und
2. der Benutzer den Notes-Client neu startet
und
3. sein Passwort ändert
und
4. der Angreifer anschließend Zugriff hat auf die erzeugte Datei und auf die ID-Datei des Benutzers
dann
kann er sich gegenüber Notes als dieser Benutzer ausweisen.
Abwehrmaßnahmen: - Ab Notes 6 gibt es die Möglichkeit, notes.ini-Variablen über Desktop-Richtlinien zu verteilen. Das sollte man jetzt vorsorglich tun.
- IBM hat zugesagt, dass die Notes.ini-Variable in den kommenden Versionen 7.0.3 und 8.0 entfernt sein wird.
- Grundsätzlich ist die ID-Datei jedes Benutzers so zu schützen, dass nur er selbst Zugriff darauf hat.
- Die ECL (Excecution Control List) sinnvoll
vorbelegen und die Benutzer schulen, so dass die entsprechenden Warnmeldungen
einen Sinn haben. Signiert man Anwendungen immer mit einer eigenen ID,
kann man so Fehlalarme weitestgehend reduzieren.
Persönliche Anmerkung: Erzwungene regelmäßige Passwortwechsel sind jetzt also nicht mehr nur riskant, weil die Benutzer entweder zu einfachen Passworten oder zum Aufschreiben tendieren...
Quellen:
Huge security hole in Notes (by Volker Weber)
Lotus Notes legt Benutzerpasswort offen
Password exposure in Lotus Notes
Response to 'Password exposure in Lotus Notes'