Мастер-пароль в LastPass можно расшифровать с помощью Metasploit

В ходе конференции по информационной безопасности DefCamp 2014 исследователь Алекс Балан (Alex Balan) из компании BullGuard продемонстрировал способ перехвата мастер-пароля популярного менеджера паролей LastPass. Программа является бесплатной и представлена в виде плагинов для популярных web-обозревателей, что и сделало ее привлекательной целью для нападения.

Стоит отметить, что одним из обязательных условий для успешного проведения атаки является наличие на системе вспомогательного инструмента Samsung Kies, предназначенного для синхронизации данных с мобильными устройствами пользователя.

Устанавливаемые этой программой соединения с серверами LastPass осуществляются при помощи незашифрованных пакетов данных, что позволило исследователю осуществить атаку "человек посередине". С помощью вредоносной утилиты Burp Балан подделал ответ, отсылаемый сервером к Samsung Kies. При этом в него был внедрен вредоносный файл, созданный при помощи Backdoor Factory и Metasploit.

В конечном итоге исследователю удалось получить прямой доступ к хранящимся на системе данным, а также к оперативной памяти, где LastPass хранит слабо зашифрованный мастер-пароль (AES 256). Вместе с тем, изъятие этого пароля становится возможным только в случае, если пользователь активировал функцию «хранить пароль».

Интересно также, что Балан опубликовал собственный модуль для Metasploit , позволяющий автоматизировать процесс изъятия мастер-пароля из памяти, несмотря на то, что исправление безопасности для LastPass еще не вышло.