Wachtwoordkluis LastPass kwetsbaar voor phishingaanval
Een onderzoeker heeft gisteren een phishingaanval op de online wachtwoordkluis LastPass onthuld waarmee een aanvaller het e-mailadres, wachtwoord en zelfs twee-factor authenticatiecode van gebruikers kan stelen, om vervolgens toegang tot wachtwoorden en documenten in de kluis te krijgen.
LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een "kluis" kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden. Onderzoeker Sean Cassidy heeft een aanval bedacht om dit hoofdwachtwoord te stelen, wat hij heel toepasselijk "LostPass" noemt. Het probleem wordt veroorzaakt doordat LastPass berichten in de browser toont die door aanvallers kunnen worden nagemaakt. "Gebruikers kunnen het verschil tussen een echte melding en de LostPass-melding niet zien, omdat die tot op de pixel nauwkeurig hetzelfde is." Cassidy kwam op het idee nadat LastPass in zijn browser een venster liet zien dat zijn sessie was verlopen en hij opnieuw moest inloggen. Volgens de onderzoeker had elke kwaadaardige website deze melding kunnen laten zien. Aangezien LastPass-gebruikers verwachten dat dit soort meldingen in de browser verschijnen, zou dit niet opvallen.
Als gebruikers op de melding klikken krijgen ze een inlogvenster te zien, dat wederom in de browser wordt getoond. Aangezien de programmeerinterface (API) van LastPass op afstand benaderbaar is, kwam Cassidy met het idee voor een aanval. Een gebruiker krijgt als eerste een nagemaakte melding te zien. Nadat erop de melding is geklikt wordt gecontroleerd of de gebruiker inderdaad LastPass geïnstalleerd heeft. Als dit het geval is, wordt er cross-site request forgery (CSRF) gebruikt om de gebruiker uit te loggen. Zo krijgt de gebruiker het idee dat hij echt is uitgelogd. Vervolgens wordt de gebruiker naar een phishingpagina gelokt die identiek is aan de versie van LastPass.
De wachtwoordkluis gebruikt hiervoor een pagina die vanuit de Chrome-extensie wordt geladen, herkenbaar aan "chrome-extension" in de adresbalk. Cassidy registreerde de website chrome-extension.pw die erg lijkt op het Chrome-protocol voor Chrome-extensies. Een probleem dat trouwens al langer bekend is. Vervolgens gebruikte de onderzoeker de LastPass-API om de ingevoerde gegevens in real-time te controleren en in het geval twee-factor authenticatie op het account staat ingeschakeld om de authenticatiecode te vragen.
Reactie
Cassidy waarschuwde LastPass. De ontwikkelaars dachten eerst dat het voornamelijk een CSRF-probleem betrof. Vervolgens lieten ze weten dat er inderdaad sprake van een phishingaanval was en LastPass zelf geen probleem heeft. Iets waar Cassidy het niet mee eens is. "Het trainen van gebruikers om het phishingprobleem op te lossen gaat in het geval van LostPass niet werken, omdat er weinig verschil is met wat de gebruiker te zien krijgt." Om gebruikers te waarschuwen als ze hun hoofdwachtwoord op een willekeurige website invoeren kwamen de LastPass-onderzoekers met het idee om een melding in de browser te laten zien, maar deze melding kan door de aanvaller worden afgevangen.
Volgens Cassidy reageert LastPass, net als anderen in de industrie, dan ook niet goed op het risico van phishingaanvallen. "Volgens mij is het net zo erg, misschien zelfs erger, dan kwetsbaarheden die het op afstand uitvoeren van code mogelijk maken en moet het ook zo behandeld worden." Cassidy demonstreerde gisteren zijn LostPass-aanval tijdens de ShmooCon-conferentie en heeft de code voor het uitvoeren ervan openbaar gemaakt. Hieronder de melding die LastPass laat zien, met daaronder de echte inlogpagina en de phishingpagina, herkenbaar aan de tld-extensie eindigend op .pw.
Iets meer werk dan luiere oplossingen als Lastpass, maar zoveel veiliger.
Amehoela is mijn antwoord. Mij krijgen ze niet 'in de wolken'.
Ik heb al mijn inmiddels ruim 70 wachtwoorden opgeslagen in een tekstbestandje op een stand-alone brakke Macintosh uit 1996 en een afdruk daarvan (gewoon op een A4-tje) op een èchte slimme plaats verstopt.
Dit is de achilleshiel van de opgelegde eis om wachtwoorden te moeten veranderen in een niet vooraf aangekondigd moment.
Het verbaast me dat hackers zich niet eerder op deze fundamentele zwakte gericht hebben met een mitm aanpak. Of dat is wel gebeurd maar niet herkend dan wel bekend gemaakt.
Amehoela is mijn antwoord. Mij krijgen ze niet 'in de wolken'.
Ik heb al mijn inmiddels ruim 70 wachtwoorden opgeslagen in een tekstbestandje op een stand-alone brakke Macintosh uit 1996 en een afdruk daarvan (gewoon op een A4-tje) op een èchte slimme plaats verstopt.
Dat klinkt inderdaad erg old school. een brakke pc en een slim verstopt A4-tje die ergens ligt.
Beetje jammer alleen als je één van de 70 wachtwoorden nodig hebt wanneer je buiten bereik bent van die 2 locaties.
De beveiliging van een cloudserver klakkeloos vertrouwen getuigt sowieso niet van een slimme aanpak.
Maar met middelen als een versleutelde database of een versleutelde container (zoals met Boxcryptor), blijf je zelf controle houden over de versleuteling en die is zo sterk als je zelf wilt. Heb zelf een database die versleuteld is met AES-256 op een cloudserver staan. Mocht deze cloudserver worden gecompromitteerd, zullen ze nog niet ver komen met mijn database.
En de reden dat het hot-and-happening is, zal waarschijnlijk mede komen door het feit dat het verrekte handig is.
Eenmaal geïnfecteerd, wordt het hoofd-wachtwoord van de kluis gestolen door de gebruiker te laten denken dat zijn kluis niet meer open is. Het inlog scherm tot de kluis komt op.
Die 'URL' is natuurlijk anders (Phishing), maar juist wachtwoord managers beschermen hier normaal tegen. Maar bij het inloggen wordt een lokale 'extensie URL' gebruikt (Chome://... en Resources://...... (firefox)). De automatische URL-controle van de manager werkt dan nog niet. Als gebruiker zijn deze extensie URL's nauwelijks te controleren.
Maar: eerst een geïnfecteerde site bezoeken. Dan is er ook veel mogelijk bij andere oplossingen. Neemt niet weg dat LP deze zaak moet oplossen, lijkt mij.
Verder zou lastpass kunnen checken of een webpagina de login probeert te clonen, en vervolgens een melding geven. Een extensie kan de inhoud van een webpagina uitlezen, dus dat zou moeten kunnen.
Je bent niet ouderwets, je bent juist heel erg up-to-date. Cloud is een fenomeen wat de industrie je probeert te laten geloven. LastPass laat maar weer zien hoe onveilig deze 'cloud' is. En 'cloud' is ook maar gewoon een buzzwoord...
Één wachtwoord onthouden en je kunt er altijd bij, wat dat betreft is de cloud een extra risicofactor. Wil je het nog mooier maken dan werk je met een tweetraps authenticatie. Bij voorbeeld via je systeem en je telefoon.
;-)
En het hebben van een passwordmanager überhaupt is al vele malen veiliger dan het niet hebben.
En phising is ook niks nieuws, eigenlijk is elke 'single internet service' hier makkelijk mee te 'hacken'.
Neem een facebook, twitter, ING, gmail etc. maak de website na, zet het op een bijna lijkende URL en je vangt er heus wel een paar.
Zelf start ik binnenkort met een soort hybrid oplossing (offline en een zelf beheersbaar online component) die, zoals nu alleen keepass, ook opensource is en het heet vaulteq. Hopelijk start hiermee een nieuwe stroming password managers die security iets serieuzer nemen maar niet gaan inleveren op het gemak.
zie: https://lastpass.com/support.php?cmd=showfaq&id=10072
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
