WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lastpass âm thầm vá lỗ hổng làm lộ mật khẩu người dùng
Nhà phát triển chương trình quản lý mật khẩu LastPass phải mất vài giờ để vá một lỗ hổng nghiêm trọng có thể bị khai thác để tấn công ứng dụng này và đánh cắp các mật khẩu tài khoản người dùng.
Lỗ hổng, do chuyên gia an ninh Tavis Ormandy thuộc Google Project Zero phát hiện, chỉ ảnh hưởng add-on (phần mở rộng) của Lastpass cho trình duyệt Firefox. Nhà nghiên cứu cũng cho biết lỗ hổng thiết kế cho phép một đoạn mã JavaScript click vào biểu tượng LastPass và tương tác với ứng dụng mà không để người dùng biết.
Theo Ormandy, kẻ tấn công có thể khai thác lỗ hổng để tấn công add-on bằng cách đánh lừa nạn nhân truy cập trang web đặc biệt. Lỗ hổng có thể cho phép hacker xóa các tập tin, thực thi các tập lệnh, đánh cắp tất cả mật khẩu của người dùng và đăng nhập trực tiếp vào tài khoản mục tiêu nhằm đánh cắp thông tin mật khẩu mới nhất của người dùng.
LastPass đã phát hành bản vá cho lỗ hổng này trong vài giờ sau khi được Google thông báo. LastPass cũng lưu ý rằng lỗ hổng chỉ ảnh hưởng đến add-on của trình duyệt Firefox. Bản vá vừa được cập nhật đến người dùng LastPass phiên bản 4.0 và các phiên bản kế tiếp của phiên bản 4.1.21a.
Bên cạnh phát hiện của Ormandy, nhà nghiên cứu an ninh Mathias Karlsson của Detectify đã tiết lộ một lỗ hổng nghiêm trọng khác trong ứng dụng này mà ông đã thông báo cho LastPass từ hơn một năm trước.
Karlsson đã tìm thấy một lỗ hổng bên trong tính năng tự động điền thông tin (autofill), cho phép nhà nghiên cứu trích xuất được mật khẩu cho các trang web phổ biến đơn giản bằng cách dẫn dụ người dùng truy cập vào một website độc hại. Karlsson cũng cho biết LastPass đã vá lỗ hỗng này trong vòng một ngày và trao thưởng cho ông 1.000 USD.
Năm ngoái, các chuyên gia Alberto Garcia Illera và Martin Vigo cũng tiết lộ một vài lỗi, thao tác sai và lỗ hổng thiết kế khiến mật khẩu người dùng Lastpass bị lộ trong nhiều kiểu tấn công khác nhau. Hãng này cũng đã báo cáo vụ lộ lọt thông tin vào cuối năm trước, nhưng dường như những kẻ tấn công không truy cập được vào bất kỳ tài khoản người dùng nào.
Ormandy đã phân tích một vài sản phẩm an ninh trong một thời gian, tuy nhiên bây giờ nhà nghiên cứu chuyển sự chú ý đến các ứng dụng quản lý mật khẩu. Nhà nghiên cứu cũng cho biết sắp tới ông sẽ phân tích ứng ụng lưu trữ mật khẩu 1Password.
Đây không phải là lần đầu tiên các chuyên gia của Google phân tích các ứng dụng quản lý mật khẩu. Năm trước, các chuyên gia của Google đã phát hiện nhiều lỗ hổng nghiêm trọng trong chức năng quản lý mật khẩu đi cùng các sản phẩm của Trend Micro.
Lỗ hổng, do chuyên gia an ninh Tavis Ormandy thuộc Google Project Zero phát hiện, chỉ ảnh hưởng add-on (phần mở rộng) của Lastpass cho trình duyệt Firefox. Nhà nghiên cứu cũng cho biết lỗ hổng thiết kế cho phép một đoạn mã JavaScript click vào biểu tượng LastPass và tương tác với ứng dụng mà không để người dùng biết.
Theo Ormandy, kẻ tấn công có thể khai thác lỗ hổng để tấn công add-on bằng cách đánh lừa nạn nhân truy cập trang web đặc biệt. Lỗ hổng có thể cho phép hacker xóa các tập tin, thực thi các tập lệnh, đánh cắp tất cả mật khẩu của người dùng và đăng nhập trực tiếp vào tài khoản mục tiêu nhằm đánh cắp thông tin mật khẩu mới nhất của người dùng.
LastPass đã phát hành bản vá cho lỗ hổng này trong vài giờ sau khi được Google thông báo. LastPass cũng lưu ý rằng lỗ hổng chỉ ảnh hưởng đến add-on của trình duyệt Firefox. Bản vá vừa được cập nhật đến người dùng LastPass phiên bản 4.0 và các phiên bản kế tiếp của phiên bản 4.1.21a.
Bên cạnh phát hiện của Ormandy, nhà nghiên cứu an ninh Mathias Karlsson của Detectify đã tiết lộ một lỗ hổng nghiêm trọng khác trong ứng dụng này mà ông đã thông báo cho LastPass từ hơn một năm trước.
Karlsson đã tìm thấy một lỗ hổng bên trong tính năng tự động điền thông tin (autofill), cho phép nhà nghiên cứu trích xuất được mật khẩu cho các trang web phổ biến đơn giản bằng cách dẫn dụ người dùng truy cập vào một website độc hại. Karlsson cũng cho biết LastPass đã vá lỗ hỗng này trong vòng một ngày và trao thưởng cho ông 1.000 USD.
Năm ngoái, các chuyên gia Alberto Garcia Illera và Martin Vigo cũng tiết lộ một vài lỗi, thao tác sai và lỗ hổng thiết kế khiến mật khẩu người dùng Lastpass bị lộ trong nhiều kiểu tấn công khác nhau. Hãng này cũng đã báo cáo vụ lộ lọt thông tin vào cuối năm trước, nhưng dường như những kẻ tấn công không truy cập được vào bất kỳ tài khoản người dùng nào.
Ormandy đã phân tích một vài sản phẩm an ninh trong một thời gian, tuy nhiên bây giờ nhà nghiên cứu chuyển sự chú ý đến các ứng dụng quản lý mật khẩu. Nhà nghiên cứu cũng cho biết sắp tới ông sẽ phân tích ứng ụng lưu trữ mật khẩu 1Password.
Đây không phải là lần đầu tiên các chuyên gia của Google phân tích các ứng dụng quản lý mật khẩu. Năm trước, các chuyên gia của Google đã phát hiện nhiều lỗ hổng nghiêm trọng trong chức năng quản lý mật khẩu đi cùng các sản phẩm của Trend Micro.
Nguồn: Security Week