image

Wachtwoordkluis LastPass kwetsbaar voor phishingaanval

zondag 17 januari 2016, 15:42 door Redactie, 13 reacties

Een onderzoeker heeft gisteren een phishingaanval op de online wachtwoordkluis LastPass onthuld waarmee een aanvaller het e-mailadres, wachtwoord en zelfs twee-factor authenticatiecode van gebruikers kan stelen, om vervolgens toegang tot wachtwoorden en documenten in de kluis te krijgen.

LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een "kluis" kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden. Onderzoeker Sean Cassidy heeft een aanval bedacht om dit hoofdwachtwoord te stelen, wat hij heel toepasselijk "LostPass" noemt. Het probleem wordt veroorzaakt doordat LastPass berichten in de browser toont die door aanvallers kunnen worden nagemaakt. "Gebruikers kunnen het verschil tussen een echte melding en de LostPass-melding niet zien, omdat die tot op de pixel nauwkeurig hetzelfde is." Cassidy kwam op het idee nadat LastPass in zijn browser een venster liet zien dat zijn sessie was verlopen en hij opnieuw moest inloggen. Volgens de onderzoeker had elke kwaadaardige website deze melding kunnen laten zien. Aangezien LastPass-gebruikers verwachten dat dit soort meldingen in de browser verschijnen, zou dit niet opvallen.

Als gebruikers op de melding klikken krijgen ze een inlogvenster te zien, dat wederom in de browser wordt getoond. Aangezien de programmeerinterface (API) van LastPass op afstand benaderbaar is, kwam Cassidy met het idee voor een aanval. Een gebruiker krijgt als eerste een nagemaakte melding te zien. Nadat erop de melding is geklikt wordt gecontroleerd of de gebruiker inderdaad LastPass geïnstalleerd heeft. Als dit het geval is, wordt er cross-site request forgery (CSRF) gebruikt om de gebruiker uit te loggen. Zo krijgt de gebruiker het idee dat hij echt is uitgelogd. Vervolgens wordt de gebruiker naar een phishingpagina gelokt die identiek is aan de versie van LastPass.

De wachtwoordkluis gebruikt hiervoor een pagina die vanuit de Chrome-extensie wordt geladen, herkenbaar aan "chrome-extension" in de adresbalk. Cassidy registreerde de website chrome-extension.pw die erg lijkt op het Chrome-protocol voor Chrome-extensies. Een probleem dat trouwens al langer bekend is. Vervolgens gebruikte de onderzoeker de LastPass-API om de ingevoerde gegevens in real-time te controleren en in het geval twee-factor authenticatie op het account staat ingeschakeld om de authenticatiecode te vragen.

Reactie

Cassidy waarschuwde LastPass. De ontwikkelaars dachten eerst dat het voornamelijk een CSRF-probleem betrof. Vervolgens lieten ze weten dat er inderdaad sprake van een phishingaanval was en LastPass zelf geen probleem heeft. Iets waar Cassidy het niet mee eens is. "Het trainen van gebruikers om het phishingprobleem op te lossen gaat in het geval van LostPass niet werken, omdat er weinig verschil is met wat de gebruiker te zien krijgt." Om gebruikers te waarschuwen als ze hun hoofdwachtwoord op een willekeurige website invoeren kwamen de LastPass-onderzoekers met het idee om een melding in de browser te laten zien, maar deze melding kan door de aanvaller worden afgevangen.

Volgens Cassidy reageert LastPass, net als anderen in de industrie, dan ook niet goed op het risico van phishingaanvallen. "Volgens mij is het net zo erg, misschien zelfs erger, dan kwetsbaarheden die het op afstand uitvoeren van code mogelijk maken en moet het ook zo behandeld worden." Cassidy demonstreerde gisteren zijn LostPass-aanval tijdens de ShmooCon-conferentie en heeft de code voor het uitvoeren ervan openbaar gemaakt. Hieronder de melding die LastPass laat zien, met daaronder de echte inlogpagina en de phishingpagina, herkenbaar aan de tld-extensie eindigend op .pw.

Image

Reacties (13)
17-01-2016, 20:25 door Anoniem
Altijd blij geweest dat ik ben blijven hangen bij het vertrouwde Keepass. Deze gewoon met een sterk passphrase beveiligen en dan plaatsen op je cloudserver (Mega ivm secret key in eigen beheer), zodat het vanaf meerdere apparaten toegankelijk is.
Iets meer werk dan luiere oplossingen als Lastpass, maar zoveel veiliger.
18-01-2016, 00:43 door [Account Verwijderd]
Het zal wel aan mijn ouderwetse opvattingen liggen maar nog losstaand daarvan zie ik en zal ik nooit iets zien in dat 'slimme' cloud-opslag-gedoe. Ach ja, zoals gebruikelijk ontbreekt het niet aan superlatief gezwets m.b.t. cloud opslag van wachtwoorden ...och och dat is toch zo veilig èn zo handig èn zo slim! Het is helemaal 'hot en happening'.
Amehoela is mijn antwoord. Mij krijgen ze niet 'in de wolken'.
Ik heb al mijn inmiddels ruim 70 wachtwoorden opgeslagen in een tekstbestandje op een stand-alone brakke Macintosh uit 1996 en een afdruk daarvan (gewoon op een A4-tje) op een èchte slimme plaats verstopt.
18-01-2016, 08:51 door karma4
De aanval richt zich op het als normaal geziene scherm voor het veranderen van passwords.
Dit is de achilleshiel van de opgelegde eis om wachtwoorden te moeten veranderen in een niet vooraf aangekondigd moment.
Het verbaast me dat hackers zich niet eerder op deze fundamentele zwakte gericht hebben met een mitm aanpak. Of dat is wel gebeurd maar niet herkend dan wel bekend gemaakt.
18-01-2016, 08:53 door Anoniem
Ik ben het eigenlijk wel eens met LastPass dat zij niet specifiek een probleem hebben. De kop boven het artikel en de hoeveelheid bombarie van Cassidy suggereert dat er daadwerkelijk iets stuk is daar. Maar zoals ik het artikel begrijp is LastPass schuldig aan...het gebruiken van de browser om met hun klanten te communiceren? Ja, dat kan worden nagemaakt door kwaadwillenden, maar dat kan ook met elke willekeurige andere dienst die via een browser wordt aangeboden. Het enige dat nog enigszins te verwijten valt is dat ze als wachtwoordenservice misschien wel de taak hebben om above and beyond normale beveiliging te gaan, en dus misschien hun klanten moeten 'trainen' om niet in phishingaanvallen te trappen.
18-01-2016, 09:04 door Anoniem
Door Aha: Het zal wel aan mijn ouderwetse opvattingen liggen maar nog losstaand daarvan zie ik en zal ik nooit iets zien in dat 'slimme' cloud-opslag-gedoe. Ach ja, zoals gebruikelijk ontbreekt het niet aan superlatief gezwets m.b.t. cloud opslag van wachtwoorden ...och och dat is toch zo veilig èn zo handig èn zo slim! Het is helemaal 'hot en happening'.
Amehoela is mijn antwoord. Mij krijgen ze niet 'in de wolken'.
Ik heb al mijn inmiddels ruim 70 wachtwoorden opgeslagen in een tekstbestandje op een stand-alone brakke Macintosh uit 1996 en een afdruk daarvan (gewoon op een A4-tje) op een èchte slimme plaats verstopt.

Dat klinkt inderdaad erg old school. een brakke pc en een slim verstopt A4-tje die ergens ligt.
Beetje jammer alleen als je één van de 70 wachtwoorden nodig hebt wanneer je buiten bereik bent van die 2 locaties.

De beveiliging van een cloudserver klakkeloos vertrouwen getuigt sowieso niet van een slimme aanpak.
Maar met middelen als een versleutelde database of een versleutelde container (zoals met Boxcryptor), blijf je zelf controle houden over de versleuteling en die is zo sterk als je zelf wilt. Heb zelf een database die versleuteld is met AES-256 op een cloudserver staan. Mocht deze cloudserver worden gecompromitteerd, zullen ze nog niet ver komen met mijn database.

En de reden dat het hot-and-happening is, zal waarschijnlijk mede komen door het feit dat het verrekte handig is.
18-01-2016, 09:14 door Erwin_
controleer altijd de url als je een wachtwoord moet invoeren, dit voorkomt 99%
18-01-2016, 09:57 door Dick99999
Het gaat hier niet het veranderen van passwords (karma4) of een standaard URL controleren (Erwin_). Het is een phishing aanval, en ik moet eerst een geïnfecteerde site bezoeken. "Get the victim to go to a malicious website that looks benign, or a real website that is vulnerable to XSS'

Eenmaal geïnfecteerd, wordt het hoofd-wachtwoord van de kluis gestolen door de gebruiker te laten denken dat zijn kluis niet meer open is. Het inlog scherm tot de kluis komt op.
Die 'URL' is natuurlijk anders (Phishing), maar juist wachtwoord managers beschermen hier normaal tegen. Maar bij het inloggen wordt een lokale 'extensie URL' gebruikt (Chome://... en Resources://...... (firefox)). De automatische URL-controle van de manager werkt dan nog niet. Als gebruiker zijn deze extensie URL's nauwelijks te controleren.

Maar: eerst een geïnfecteerde site bezoeken. Dan is er ook veel mogelijk bij andere oplossingen. Neemt niet weg dat LP deze zaak moet oplossen, lijkt mij.
18-01-2016, 10:01 door turniphead
Google zou een soort van verification in de addresbalk moeten doen om duidelijk te maken dat het echt om een Chrome protocol gaat.

Verder zou lastpass kunnen checken of een webpagina de login probeert te clonen, en vervolgens een melding geven. Een extensie kan de inhoud van een webpagina uitlezen, dus dat zou moeten kunnen.
18-01-2016, 10:30 door Anoniem
Door Aha: Het zal wel aan mijn ouderwetse opvattingen liggen maar nog losstaand daarvan zie ik en zal ik nooit iets zien in dat 'slimme' cloud-opslag-gedoe.

Je bent niet ouderwets, je bent juist heel erg up-to-date. Cloud is een fenomeen wat de industrie je probeert te laten geloven. LastPass laat maar weer zien hoe onveilig deze 'cloud' is. En 'cloud' is ook maar gewoon een buzzwoord...
18-01-2016, 13:06 door Anoniem
Waaron toch zo moeilijk doen. Een encrypted bestand aanmaken met je gebruikersnamen en passwords en gewoon lokaal op je netwerk zetten. Wanneer je het netwerk goed hebt beveiligd, er voor zorgt dat de gebruikersrechten alleen bij jou liggen en de encryptie ook op orde is heb je het document ook in de back-ups staan.

Één wachtwoord onthouden en je kunt er altijd bij, wat dat betreft is de cloud een extra risicofactor. Wil je het nog mooier maken dan werk je met een tweetraps authenticatie. Bij voorbeeld via je systeem en je telefoon.

;-)
18-01-2016, 13:55 door Anoniem
Uiteraard is offline opslag veiliger dan online opslag (keepass of 1password etc.) alleen is het gemakt van een online dienst zoals lastpass, dashlane, roboform etc. natuurlijk moeilijk te ontkennen.
En het hebben van een passwordmanager überhaupt is al vele malen veiliger dan het niet hebben.

En phising is ook niks nieuws, eigenlijk is elke 'single internet service' hier makkelijk mee te 'hacken'.
Neem een facebook, twitter, ING, gmail etc. maak de website na, zet het op een bijna lijkende URL en je vangt er heus wel een paar.

Zelf start ik binnenkort met een soort hybrid oplossing (offline en een zelf beheersbaar online component) die, zoals nu alleen keepass, ook opensource is en het heet vaulteq. Hopelijk start hiermee een nieuwe stroming password managers die security iets serieuzer nemen maar niet gaan inleveren op het gemak.
18-01-2016, 14:28 door Anoniem
Bij mij staat het in de private cloud. Vroeger heette dat gewoon een server, maar nu is er een app voor die ook offline werkt ;-) .
18-01-2016, 16:59 door Dick99999
LastPass had dit blijkbaar al opgelost, enige wat ik mis is of het ook voor Firefox geldt.
zie: https://lastpass.com/support.php?cmd=showfaq&id=10072
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.