LastPass dicht beveiligingslek in tweefactorauthenticatie

[Captain Kirk]

Wachtwoordmanager LastPass heeft een beveiligingslek gedicht waardoor een aanvaller de tweefactorauthenticatie tijdens het inloggen kon omzeilen. Tweefactorauthenticatie moet een account beschermen als een aanvaller de beschikking over het wachtwoord van de gebruiker heeft.

Tijdens het inloggen moet er naast het wachtwoord ook een code worden ingevoerd, die elke 30 seconden verandert. Deze codes worden op basis van verschillende variabelen gegenereerd, waaronder een geheim "seed" en een timestamp. Dit zorgt ervoor dat de code uniek en veilig is en elke 30 seconden wordt veranderd. De server moet de geheime seed met de client delen om het proces in werking te stellen. Dit wordt meestal gedaan door de seed in een qr-code te encoderen, die vervolgens met een tweefactorauthenticatie-app wordt gescand, zoals Google Authenticator.

LastPass had hierbij echter verschillende ontwerpfouten gemaakt. De geheime seed was namelijk via een link benaderbaar die van het wachtwoord kon worden afgeleid. Een aanvaller die al over het wachtwoord beschikte kon zo de tweefactorauthenticatie omzeilen en alsnog inloggen. De benodigde qr-code die via de geheime url is op te vragen kan alleen via een geauthenticeerd verzoek worden opgevraagd. Een aanvaller is echter niet geauthenticeerd en kan zodoende de qr-code niet opvragen.

LastPass bleek echter ook kwetsbaar voor cross-site request forgery te zijn. Hierdoor is het mogelijk voor een aanvaller om het slachtoffer het verzoek te laten maken en zo de qr-code te stelen. De problemen werden in februari van dit jaar al door onderzoeker Martin Vigo gevonden en aan LastPass gerapporteerd. Binnen 3 dagen werden de kwetsbaarheden aan de serverkant van LastPass vervolgens verholpen. Zo wordt er geen hash van de login meer gebruikt om de qr-code op te vragen. De details van de kwetsbaarheden zijn nu pas bekendgemaakt.

Onlangs kwam LastPass ook al in het nieuws vanwege verschillende kwetsbaarheden in de browserplug-in die door Google-onderzoeker Tavis Ormandy waren gevonden en waardoor een aanvaller kwetsbare systemen kon overnemen. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken. De dienst heeft meer dan 6 miljoen gebruikers.

 

bron: security.nl