WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng trong LastPass làm lộ mật khẩu người dùng
Theo nghiên cứu, một lỗ hổng an ninh trong trình quản lý mật khẩu LastPass có thể cho phép tin tặc đánh cắp thông tin người dùng, địa chỉ email, mật khẩu, thậm chí là mã xác thực hai yếu tố.
Lỗ hổng này được nhà nghiên cứu Sean Cassidy tiết lộ và đặt tên là “LostPass”. Đó là một cuộc tấn công lừa đảo dễ thực hiện, có thể hiển thị thông báo độc hại trong trình duyệt để thu thập thông tin nhạy cảm.
"LostPass hoạt động vì LastPass hiển thị trong trình duyệt thông báo mà kẻ tấn công có thể giả mạo. Người dùng không thể biết được sự khác biệt giữa thông báo LostPass giả và thông báo thật vì không có sự khác biệt”, Cassidy cho biết.
Khi click vào một banner giả, nạn nhân có thể được chuyển hướng đến một trang đăng nhập độc hại trông giống như trang chính thức. Từ thời điểm này, trang web sẽ lấy username và mật khẩu, và gửi đến máy chủ của kẻ tấn công mà người dùng không hề hay biết.
Tồi tệ hơn nữa là xác thực hai yếu tố lại làm cho cuộc tấn công này "dễ dàng hơn nhiều", nhà nghiên cứu cảnh báo.
"Theo mặc định, LastPass gửi xác nhận qua email khi một địa chỉ IP mới cố gắng đăng nhập vào LastPass. Điều này gần như hoàn toàn ngăn chặn cuộc tấn công, nhưng không. Theo tài liệu của LastPass, email xác nhận chỉ được gửi nếu bạn không kích hoạt xác thực hai yếu tố".
Lỗ hổng này hoạt động tốt nhất trên trình duyệt Chrome vì sử dụng trang đăng nhập HTML. Cũng theo nhà nghiên cứu, cuộc tấn công được phát triển đặc biệt nhắm vào LastPass 4.0.
Người sử dụng LastPass có thể kiểm tra mình có bị tấn cống không bằng cách xem trong Lịch sử Tài khoản LastPass số lần đăng nhập và địa chỉ IP. Người dùng cũng nên bỏ qua các thông báo trong cửa sổ trình duyệt, kích hoạt tính năng hạn chế IP, vô hiệu hóa đăng nhập bằng điện thoại di động, lưu lại tất cả các thông tin đăng nhập và số lần thất bại, và thông báo cho nhân viên về cuộc tấn công tiềm năng này.
LastPass đã được thông báo và thừa nhận vấn đề này nhưng cho rằng đó chỉ là một cuộc tấn công lừa đảo, không phải một lỗ hổng.
Để khắc phục vấn đề này, LastPass hiện thông báo cảnh báo người dùng khi họ nhập mật khẩu vào một số trang web, nhưng thông báo vẫn được hiển thị trong trình duyệt, giống như tất cả các thông báo khác. Điều này có nghĩa là một trang web bị kẻ tấn công kiểm soát có thể phát hiện ra thông báo này và tiến hành ngăn chặn, đồng thời gửi một yêu cầu đến máy chủ của kẻ tấn công để ghi lại mật khẩu. LastPass cũng thực hiện một số biện pháp an ninh bổ sung và yêu cầu xác nhận qua email cho tất cả các lần đăng nhập từ các IP mới.
"Điều này giúp giảm thiểu đáng kể LostPass, nhưng không loại bỏ được nó," Cassidy cho biết.
Nguồn: Theo V3 và SecurityWeek
Lỗ hổng này được nhà nghiên cứu Sean Cassidy tiết lộ và đặt tên là “LostPass”. Đó là một cuộc tấn công lừa đảo dễ thực hiện, có thể hiển thị thông báo độc hại trong trình duyệt để thu thập thông tin nhạy cảm.
"LostPass hoạt động vì LastPass hiển thị trong trình duyệt thông báo mà kẻ tấn công có thể giả mạo. Người dùng không thể biết được sự khác biệt giữa thông báo LostPass giả và thông báo thật vì không có sự khác biệt”, Cassidy cho biết.
Khi click vào một banner giả, nạn nhân có thể được chuyển hướng đến một trang đăng nhập độc hại trông giống như trang chính thức. Từ thời điểm này, trang web sẽ lấy username và mật khẩu, và gửi đến máy chủ của kẻ tấn công mà người dùng không hề hay biết.
Tồi tệ hơn nữa là xác thực hai yếu tố lại làm cho cuộc tấn công này "dễ dàng hơn nhiều", nhà nghiên cứu cảnh báo.
"Theo mặc định, LastPass gửi xác nhận qua email khi một địa chỉ IP mới cố gắng đăng nhập vào LastPass. Điều này gần như hoàn toàn ngăn chặn cuộc tấn công, nhưng không. Theo tài liệu của LastPass, email xác nhận chỉ được gửi nếu bạn không kích hoạt xác thực hai yếu tố".
Lỗ hổng này hoạt động tốt nhất trên trình duyệt Chrome vì sử dụng trang đăng nhập HTML. Cũng theo nhà nghiên cứu, cuộc tấn công được phát triển đặc biệt nhắm vào LastPass 4.0.
Người sử dụng LastPass có thể kiểm tra mình có bị tấn cống không bằng cách xem trong Lịch sử Tài khoản LastPass số lần đăng nhập và địa chỉ IP. Người dùng cũng nên bỏ qua các thông báo trong cửa sổ trình duyệt, kích hoạt tính năng hạn chế IP, vô hiệu hóa đăng nhập bằng điện thoại di động, lưu lại tất cả các thông tin đăng nhập và số lần thất bại, và thông báo cho nhân viên về cuộc tấn công tiềm năng này.
LastPass đã được thông báo và thừa nhận vấn đề này nhưng cho rằng đó chỉ là một cuộc tấn công lừa đảo, không phải một lỗ hổng.
Để khắc phục vấn đề này, LastPass hiện thông báo cảnh báo người dùng khi họ nhập mật khẩu vào một số trang web, nhưng thông báo vẫn được hiển thị trong trình duyệt, giống như tất cả các thông báo khác. Điều này có nghĩa là một trang web bị kẻ tấn công kiểm soát có thể phát hiện ra thông báo này và tiến hành ngăn chặn, đồng thời gửi một yêu cầu đến máy chủ của kẻ tấn công để ghi lại mật khẩu. LastPass cũng thực hiện một số biện pháp an ninh bổ sung và yêu cầu xác nhận qua email cho tất cả các lần đăng nhập từ các IP mới.
"Điều này giúp giảm thiểu đáng kể LostPass, nhưng không loại bỏ được nó," Cassidy cho biết.
Nguồn: Theo V3 và SecurityWeek