Kritische Schwachstelle in StrongDM ermöglicht Angreifern Diebstahl und Wiederverwendung von Authentifizierungsdaten

Nach einer erfolgreichen Anmeldung speichert die Anwendung das Authentifizierungsmaterial in einer Datei unter C:\Users.sdm\state.kv. Diese Datei enthält einen JSON Web Token (JWT) sowie ein Schlüsselpaar aus öffentlichem und privatem Schlüssel, alles in Klartext.

Kritische Schwachstelle bei StrongDM Da die Datei lediglich benutzerseitige Berechtigungen zum Zugriff erfordert, konnte ein Angreifer mit Systemzugriff sie ohne erhöhte Privilegien extrahieren. SpecterOps zeigte, dass dieser Zustandsdatei verwendet werden kann, um einen legitimen Benutzer vorzutäuschen.

Angreifer könnten eine KV-Zustandsdatei einen anderen Rechner kopieren, wodurch der StrongDM-Client automatisch als Opfer authentifiziert wird und Infrastrukturressourcen ohne Credentials zugreifen kann.

Sicherheitslage und Risiko

Der Angriff funktionierte zuverlässig auch über externe Hosts hinweg, indem die Datei nach dem Start der Anwendung ersetzt wurde, wodurch Startdatei-Schutzmechanismen umgangen und zusätzliche Schwachstellen im Authentifizierungsablauf offengelegt wurden.

Ein lokaler Endpunkt unter http://127.0.0.1:65220/v2/authentication gab JWT-Tokens aus, wenn er mit minimalen Header-Informationen abgefragt wurde, und zwischengespeicherte Dateien wie data_1 enthielten ebenfalls sensible Authentifizierungsdaten. Das Fehlen einer Bindung zwischen Sitzungstokens und der Host-Umgebung ermöglichte die Wiederverwendung.

Die Auswirkung dieser Schwachstelle ist erheblich, da sie einen vollständigen Session-Hijacking ohne Anforderung öglicht. Angreifer könnten Datenbanken, Server und über StrongDM verwaltete Cloud-Ressourcen erreichen und sich potenziell lateral in Unternehmensumgebungen bewegen.

Technischer Hintergrund

Die Tatsache, dass nur Benutzerebene-Berechtigungen erforderlich sind, senkt die Schwelle für Ausnutzung, insbesondere in Szenarien nach einer Kompromittierung. StrongDM hat das Problem behoben, indem es die Speicherung sensibler Authentifizierungsdaten im Klartext entfernt hat.

Die aktualisierten Versionen nutzen nun sicherheitskonforme, plattformnative Speichermechanismen wie DPAPI unter Windows und Keychain unter macOS. Darüber hinaus werden JWTs nicht mehr in der State-KV-Datei gespeichert, was eine Wiederverwendung über verschiedene Systeme hinweg verhindert.

Sicherheitsvalidierungen haben bestätigt, dass die Übertragung keinen authentisierten Zugriff mehr ermöglicht. Die Schwachstelle wurde erstmals im Mai 2025 gemeldet, und die Behebung wurde im März 2026 implementiert. Laut SpecterOps wurde CVE-2026-4387 am 29. Mai 2026 öffentlich offengelegt, gefolgt 1. Juni 2026.

Sicherheitslage und Risiko

Benutzer werden dringend aufgefordert, auf die neuesten Versionen zu aktualisieren, um potenzielle Risiken zu mindern. Dieser Vorfall verdeutlicht die Gefahren unsicherer lokaler Credential-Speicherung. Er unterstreicht die Bedeutung des Schutzes und korrekte Session-Bindung, um Wiederverwendungsangriffe zu verhindern.

Abi ist Security-Editorin und Kollegin bei