Wachtwoordkluis LastPass kwetsbaar voor phishingaanval

[Captain Kirk]

Een onderzoeker heeft gisteren een phishingaanval op de online wachtwoordkluis LastPass onthuld waarmee een aanvaller het e-mailadres, wachtwoord en zelfs twee-factor authenticatiecode van gebruikers kan stelen, om vervolgens toegang tot wachtwoorden en documenten in de kluis te krijgen.

LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een "kluis" kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden. Onderzoeker Sean Cassidy heeft een aanval bedacht om dit hoofdwachtwoord te stelen, wat hij heel toepasselijk "LostPass" noemt. Het probleem wordt veroorzaakt doordat LastPass berichten in de browser toont die door aanvallers kunnen worden nagemaakt. "Gebruikers kunnen het verschil tussen een echte melding en de LostPass-melding niet zien, omdat die tot op de pixel nauwkeurig hetzelfde is." Cassidy kwam op het idee nadat LastPass in zijn browser een venster liet zien dat zijn sessie was verlopen en hij opnieuw moest inloggen. Volgens de onderzoeker had elke kwaadaardige website deze melding kunnen laten zien. Aangezien LastPass-gebruikers verwachten dat dit soort meldingen in de browser verschijnen, zou dit niet opvallen.

Als gebruikers op de melding klikken krijgen ze een inlogvenster te zien, dat wederom in de browser wordt getoond. Aangezien de programmeerinterface (API) van LastPass op afstand benaderbaar is, kwam Cassidy met het idee voor een aanval. Een gebruiker krijgt als eerste een nagemaakte melding te zien. Nadat erop de melding is geklikt wordt gecontroleerd of de gebruiker inderdaad LastPass geïnstalleerd heeft. Als dit het geval is, wordt er cross-site request forgery (CSRF) gebruikt om de gebruiker uit te loggen. Zo krijgt de gebruiker het idee dat hij echt is uitgelogd. Vervolgens wordt de gebruiker naar een phishingpagina gelokt die identiek is aan de versie van LastPass.

De wachtwoordkluis gebruikt hiervoor een pagina die vanuit de Chrome-extensie wordt geladen, herkenbaar aan "chrome-extension" in de adresbalk. Cassidy registreerde de website chrome-extension.pw die erg lijkt op het Chrome-protocol voor Chrome-extensies. Een probleem dat trouwens al langer bekend is. Vervolgens gebruikte de onderzoeker de LastPass-API om de ingevoerde gegevens in real-time te controleren en in het geval twee-factor authenticatie op het account staat ingeschakeld om de authenticatiecode te vragen.

Reactie

Cassidy waarschuwde LastPass. De ontwikkelaars dachten eerst dat het voornamelijk een CSRF-probleem betrof. Vervolgens lieten ze weten dat er inderdaad sprake van een phishingaanval was en LastPass zelf geen probleem heeft. Iets waar Cassidy het niet mee eens is. "Het trainen van gebruikers om het phishingprobleem op te lossen gaat in het geval van LostPass niet werken, omdat er weinig verschil is met wat de gebruiker te zien krijgt." Om gebruikers te waarschuwen als ze hun hoofdwachtwoord op een willekeurige website invoeren kwamen de LastPass-onderzoekers met het idee om een melding in de browser te laten zien, maar deze melding kan door de aanvaller worden afgevangen.

Volgens Cassidy reageert LastPass, net als anderen in de industrie, dan ook niet goed op het risico van phishingaanvallen. "Volgens mij is het net zo erg, misschien zelfs erger, dan kwetsbaarheden die het op afstand uitvoeren van code mogelijk maken en moet het ook zo behandeld worden." Cassidy demonstreerde gisteren zijn LostPass-aanval tijdens de ShmooCon-conferentie en heeft de code voor het uitvoeren ervan openbaar gemaakt.

 

bron: security.nl

[Captain Kirk]

De digitale wachtwoordkluis LastPass heeft maatregelen genomen tegen een phishingaanval die afgelopen weekend tijdens een beveiligingsconferentie werd gedemonstreerd. Via de LostPass-phishingaanval liet onderzoeker Sean Cassidy zien hoe een aanvaller het e-mailadres, wachtwoord en zelfs twee-factor authenticatiecode van gebruikers kan stelen, om vervolgens toegang tot wachtwoorden en documenten in de kluis te krijgen.

Het probleem wordt volgens Cassidy veroorzaakt doordat LastPass meldingen in de browser laat zien, die door een phishingsite kunnen worden nagebootst. Ook is het voor een phishingsite mogelijk om de gebruiker uit LastPass uit te loggen. Op deze manier kan een gebruiker naar een phishingsite worden gelokt waar hij zijn gegevens invult, die vervolgens naar de aanvaller worden gestuurd. Volgens LastPass gaat het hier niet om een kwetsbaarheid in de wachtwoordmanager zelf. Toch hebben de ontwikkelaars verschillende maatregelen genomen om de nu gedemonstreerde aanval te voorkomen.

Zo is het niet meer mogelijk voor een kwaadaardige pagina om de LastPass-gebruiker uit te loggen. Ook toont LastPass een waarschuwing als het hoofdwachtwoord op een pagina wordt ingevoerd die niet van LastPass is. Het hoofdwachtwoord is nodig om toegang tot de wachtwoorden in de kluis te krijgen. Cassidy liet echter zien dat de waarschuwing kan worden onderdrukt. Daarom is er nu eerst verificatie nodig voordat er vanaf een onbekende locatie of apparaat op het LastPass-account kan worden ingelogd.

Zolang de e-mailverificatie niet is bevestigd, kan een aanvaller niet op het LastPass-account inloggen, ook al heeft hij de gegevens succesvol weten te bemachtigen. Ook waarschuwt LastPass nu als het hoofdwachtwoord als wachtwoord voor andere websites wordt gebruikt. Als laatste zullen de ontwikkelaars maatregelen nemen om de waarschuwingen van LastPass binnen de browser op een andere manier weer te geven, die lastiger voor aanvallers te vervalsen zou moeten zijn.

 

 

bron: security.nl