Eine Sicherheitslücke in der grafischen Benutzeroberfläche (GUI) des YubiKey Managers für Windows-Versionen vor 1.2.6 erlaubt es Angreifern, Nutzerrechte zu eskalieren. Dieses Problem betrifft die Interaktion mit FIDO-Authentifikatoren unter Windows, da hierfür Administratorrechte erforderlich sind.
Angreifer könnten diese Schwachstelle ausnutzen, indem sie Nutzer dazu verleiten, den YubiKey Manager GUI mit Administratorrechten zu starten. Infolgedessen könnten alle vom Programm geöffneten Webbrowserfenster diese erhöhten Privilegien erben, was potenziell zu schwerwiegenderen browserbasierten Angriffen führen könnte.
Details des Problems: Der YubiKey Manager GUI, ein Werkzeug zur Verwaltung von YubiKey-Funktionen wie FIDO, OTP und PIV, kann unter bestimmten Bedingungen den Standardbrowser starten, was Nutzerinteraktion erfordert und nicht automatisch geschieht.
Aufgrund von Beschränkungen im Betriebssystem von Microsoft erfordert die Interaktion mit der FIDO-Funktionalität des YubiKeys Administratorrechte. Daraus resultiert, dass das Ausführen des Managers mit Administratorrechten ebenfalls jegliche Browserfenster, die es öffnet, abhängig vom Browser, erhöhen könnte. Dies schafft eine Sicherheitslücke, die Angreifer nutzen könnten, um lokale Angriffe zu eskalieren und browserbasierte Angriffe durch Ausnutzen dieser erhöhten Privilegien zu verschärfen.
Die GUI-Versionen des YubiKey Managers vor 1.2.6 weisen auf Windows-Systemen, die nicht Edge als Standardbrowser verwenden, eine Sicherheitsanfälligkeit auf. Die Schwachstelle entsteht, weil Windows für die Interaktion mit FIDO-Authentifikatoren Administratorrechte verlangt, und der YubiKey Manager GUI auf anfälligen Systemen möglicherweise mit diesen erhöhten Berechtigungen läuft.
Andere Betriebssysteme sind von diesem Problem nicht betroffen, jedoch wird empfohlen, den YubiKey Manager GUI auch auf diesen Plattformen nicht mit administrativen Privilegien auszuführen.
Um diese Sicherheitslücke zu beheben, sollten Nutzer ihre Version des YubiKey Manager GUI im „Über“-Menü der Anwendung überprüfen und auf Version 1.2.6 oder höher aktualisieren.
Yubico hat auf diese Sicherheitslücke hingewiesen, die auf Windows eine Rechteausweitung ermöglicht, wenn sie als Administrator ausgeführt wird. Ein lokaler Angreifer könnte dies ausnutzen, um Administratorzugang zu erlangen und potenziell bösartige Aktionen über vom Programm geöffnete Browserfenster durchzuführen. Es wird empfohlen, auf die neueste Version zu aktualisieren oder den YubiKey Manager GUI als nicht-privilegierten Benutzer auszuführen, einschließlich der Verwendung von Microsoft Edge als Standardbrowser aufgrund seiner integrierten Schutzmechanismen. Die Schwachstelle wird mit einem CVSS-Score von 7.7 als hoch eingestuft.