Уязвимость в LastPass делала двухфакторную аутентификацию бесполезной

Уязвимость в LastPass делала двухфакторную аутентификацию бесполезной

Производитель исправил проблему 20 апреля текущего года.

В менеджере паролей LastPass исправлена серьезная уязвимость, позволяющая обойти механизм двухфакторной аутентификации. По словам обнаружившего уязвимость исследователя Мартина Виго (Martin Vigo), проэксплуатировать ее можно, только предварительно взломав мастер-пароль пользователя.

Не стоит недооценивать проблему. Двухфакторная аутентификация представляет собой второй уровень защиты на случай, если злоумышленникам каким-либо образом удалось завладеть мастер-паролем пользователя. Обнаруженная Виго уязвимость сводит эффективность двухфакторной аутентификации в LastPass к нулю, делая ее совершенно бесполезной.

Проблема заключалась в том, что закрытые криптографические ключи LastPass в виде QR-кода хранились по URL-адресу, созданному на основе пароля. Атакующему, которому известен данный пароль, достаточно лишь вычислить хранящийся локально QR-код, получить второй код двухфакторной аутентификации и открыть чужой менеджер паролей.

Виго описал атаку следующим образом. Атакующий с помощью социальной инженерии заманивает пользователя на сайт с XSS-уязвимостью. Затем он получает QR-код по локальному URL-адресу, созданному на основе известного ему пароля, и с помощью XSS-атаки загружает и сохраняет его изображение. Далее злоумышленник сканирует QR-код с помощью приложения Google Authenticator, используемого LastPass для двухфакторной аутентификации, получает второй код и может открыть менеджер паролей.

Виго сообщил производителю о проблеме в феврале текущего года, и в тот же день было выпущено временное исправление. 20 апреля уязвимость была исправлена полностью.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену