Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Thêm một lỗ hổng nghiêm trọng được phát hiện trên LastPass
Lần thứ hai trong vòng 2 tuần, các nhà phát triển trình quản lý mật khẩu LastPass phải nỗ lực khắc phục lỗ hổng nghiêm trọng trên sản phẩm của mình. Vấn đề mới phát hiện có thể cho phép hacker lấy cắp mật khẩu của người dùng hoặc lây nhiễm mã độc vào máy tính nạn nhân.
Giống như các lỗi trên LastPass công bố vào vào tuần trước, lỗ hổng mới cũng được phát hiện bởi Tavis Ormandy thuộc đội Project Zero của Google. Chuyên gia đã thông báo về lỗ hổng trên Twitter nhưng không tiết lộ chi tiết kỹ thuật để tránh việc hacker sẽ lạm dụng khai thác.
Theo Ormandy, lỗ hổng ảnh hưởng đến phiên bản mới nhất của tiện ích mở rộng (extentsion) trình duyệt LastPass trên toàn bộ các trình duyệt chính. Chuyên gia tuyên bố đã thử nghiệm khai thác thành công trên Windows và Linux. Ông cho rằng việc khai thác cũng hoạt động cả trên Mac.
Nếu thành phần nhị phân của extension cũng được cài đặt, lỗ hổng này cho phép hacker thực thi đoạn mã độc hại trên máy tính của người dùng khi họ truy cập vào trang web giả mạo. Nếu không có thành phần đó, lỗ hổng vẫn có thể được sử dụng để trích xuất mật khẩu từ kho mật khẩu của người dùng.
Tệ hơn nữa, có vẻ như chỉ cần sự hiện diện của extension trên trình duyệt là đủ để khai thác lỗ hổng. Trên Twitter, Ormandy cho biết cuộc tấn công vẫn có thể diễn ra ngay cả khi người dùng đã đăng xuất khỏi trình duyệt.
Điều này thường chỉ đúng với cuộc tấn công thực thi mã từ xa vì nếu không có phiên đăng nhập, mật khẩu sẽ vẫn ở dạng mã hóa và không thể truy cập vào một trang web.
Các chuyên gia LastPass cho biết hôm thứ 2: "Chúng tôi đang khắc phục lỗ hổng. Cuộc tấn công này khá đặc biệt và phức tạp. Chúng tôi không muốn tiết lộ bất cứ thông tin cụ thể nào về lỗ hổng để tránh các bên không liên quan có thể lợi dụng".
LastPass khuyến cáo người dùng đăng xuất các website đã lưu trữ mật khẩu trực tiếp trên kho mật khẩu bằng cách sử dụng tính năng “launch”. Hãng cũng khuyên người dùng bật tính năng xác thực hai bước cho các dịch vụ trực tuyến có tùy chọn này và cẩn trọng trước các cuộc tấn công phishing cũng như các liên kết độc hại.
Ormandy cho rằng sẽ mất khá nhiều thời gian để khắc phục lỗ hổng bởi đây là "vấn đề kiến trúc lớn". Thời hạn công bố thông tin lỗ hổng thông thường của Google Project Zero là 90 ngày.
Giống như các lỗi trên LastPass công bố vào vào tuần trước, lỗ hổng mới cũng được phát hiện bởi Tavis Ormandy thuộc đội Project Zero của Google. Chuyên gia đã thông báo về lỗ hổng trên Twitter nhưng không tiết lộ chi tiết kỹ thuật để tránh việc hacker sẽ lạm dụng khai thác.
Theo Ormandy, lỗ hổng ảnh hưởng đến phiên bản mới nhất của tiện ích mở rộng (extentsion) trình duyệt LastPass trên toàn bộ các trình duyệt chính. Chuyên gia tuyên bố đã thử nghiệm khai thác thành công trên Windows và Linux. Ông cho rằng việc khai thác cũng hoạt động cả trên Mac.
Nếu thành phần nhị phân của extension cũng được cài đặt, lỗ hổng này cho phép hacker thực thi đoạn mã độc hại trên máy tính của người dùng khi họ truy cập vào trang web giả mạo. Nếu không có thành phần đó, lỗ hổng vẫn có thể được sử dụng để trích xuất mật khẩu từ kho mật khẩu của người dùng.
Tệ hơn nữa, có vẻ như chỉ cần sự hiện diện của extension trên trình duyệt là đủ để khai thác lỗ hổng. Trên Twitter, Ormandy cho biết cuộc tấn công vẫn có thể diễn ra ngay cả khi người dùng đã đăng xuất khỏi trình duyệt.
Điều này thường chỉ đúng với cuộc tấn công thực thi mã từ xa vì nếu không có phiên đăng nhập, mật khẩu sẽ vẫn ở dạng mã hóa và không thể truy cập vào một trang web.
Các chuyên gia LastPass cho biết hôm thứ 2: "Chúng tôi đang khắc phục lỗ hổng. Cuộc tấn công này khá đặc biệt và phức tạp. Chúng tôi không muốn tiết lộ bất cứ thông tin cụ thể nào về lỗ hổng để tránh các bên không liên quan có thể lợi dụng".
LastPass khuyến cáo người dùng đăng xuất các website đã lưu trữ mật khẩu trực tiếp trên kho mật khẩu bằng cách sử dụng tính năng “launch”. Hãng cũng khuyên người dùng bật tính năng xác thực hai bước cho các dịch vụ trực tuyến có tùy chọn này và cẩn trọng trước các cuộc tấn công phishing cũng như các liên kết độc hại.
Ormandy cho rằng sẽ mất khá nhiều thời gian để khắc phục lỗ hổng bởi đây là "vấn đề kiến trúc lớn". Thời hạn công bố thông tin lỗ hổng thông thường của Google Project Zero là 90 ngày.
Nguồn: ComputerWorld