安全動態(tài)

LastPass密碼管理器再曝嚴(yán)重漏洞,基于瀏覽器的密碼管理器還能用嗎?
來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-03-24    瀏覽次數(shù):
 

信息來源:Freebuf 

沒有使用密碼軟件前,大家容易忘記密碼;使用密碼軟件后,大家“無奈地”泄露了所有密碼。LastPass,最受歡迎的密碼管理軟件之一,近日再次爆出安全漏洞。安全人員發(fā)現(xiàn)在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三個(gè)漏洞,可能會導(dǎo)致用戶在使用該組件的過程中泄露密碼。

這幾個(gè)漏洞都是谷歌Project Zero團(tuán)隊(duì)的安全研究人員Tavis Ormandy發(fā)現(xiàn)的。其中一個(gè)漏洞影響到LastPass的Chrome擴(kuò)展,另外兩個(gè)則是針對Firefox的。Ormandy稱該擴(kuò)展程序上有可利用的內(nèi)容腳本,允許攻擊者從管理器中提取密碼,還可以執(zhí)行受害者設(shè)備上的命令。

lastpass.jpeg 

所有平臺都受影響

Chrome的LastPass插件漏洞可被利用攻擊用戶瀏覽器和LastPass云服務(wù)器之間的JS腳本。Ormandy解釋說:

“由于該漏洞的存在,要代理LastPass 4.1.42不受信任的信息是可行的。這個(gè)漏洞可讓網(wǎng)站訪問內(nèi)部高權(quán)限RPC(遠(yuǎn)程過程調(diào)用)。有很多的PRC,可對LastPass擴(kuò)展實(shí)現(xiàn)完整控制,包括密碼的竊取。比如你安裝了‘Binary Component’,甚至可以造成任意代碼執(zhí)行?!?/span>

LastPass-Chrome-bug.png

Ormandy演示了如何通過該中間腳本在用戶設(shè)備上執(zhí)行代碼(PoC點(diǎn)擊這里),上圖即成功實(shí)現(xiàn)了Windows計(jì)算器的啟動。值得一提的是,該漏洞存在于所有操作系統(tǒng)中,并不只是Windows版Chrome。另外改一下PoC,在密碼復(fù)制并填充用戶名和密碼表單之前,就能竊取用戶密碼了。

在具體攻擊方式上,攻擊者可以在網(wǎng)站的JS腳本中放入惡意代碼,所以危險(xiǎn)系數(shù)還是比較高的,攻擊成本卻比較低。LastPass發(fā)布推文稱已經(jīng)修復(fù)了Chrome插件的相關(guān)漏洞,還專門發(fā)了篇博文來詳述該問題。

Firefox也未能幸免

如上所述,F(xiàn)irefox的LastPass擴(kuò)展也存在漏洞,僅影響3.3.2版本——這個(gè)版本的確也是LastPass最廣泛應(yīng)用的版本。和Chrome版一樣,攻擊者也可以通過隱藏在網(wǎng)站中的惡意JS代碼來發(fā)動攻擊,下圖復(fù)現(xiàn)了其中一個(gè)漏洞。

LastPass-Firefox-bug.jpg

不過兩周前,LastPass就發(fā)布了新版Firefox插件,因?yàn)镕irefox原本計(jì)劃拋棄舊有擴(kuò)展API。漏洞的演示頁面在此。 

基于瀏覽器的密碼管理擴(kuò)展還能用嗎?

實(shí)際上,這已經(jīng)不是Ormandy首次在LastPass中發(fā)現(xiàn)高危漏洞了:

2016年7月,同樣是 LastPass瀏覽器擴(kuò)展組件爆出漏洞,黑客可以通過誘導(dǎo)用戶點(diǎn)擊一個(gè)連接,然后竊取用戶的所有密碼;

2015年6月,LastPass 的服務(wù)器被黑客攻擊,并導(dǎo)致用戶所有加密數(shù)據(jù)被泄露,雖然泄露的不是明文數(shù)據(jù),但這些數(shù)據(jù)依舊有被破解的可能;

2014年,安全人員發(fā)現(xiàn) LastPass 的四個(gè)密碼管理漏洞;

LastPass也并非唯一被曝漏洞的密碼管理類應(yīng)用:Keeper、Dashlane甚至1Password都曾給予攻擊者機(jī)會竊取用戶賬戶密碼?;跒g覽器的密碼管理擴(kuò)展都存在類似的攻擊面,攻擊者只需要設(shè)計(jì)個(gè)惡意網(wǎng)站讓相應(yīng)用戶去訪問就能在用戶不知情的情況下竊取身份憑證信息。

使用這些瀏覽器密碼管理擴(kuò)展插件,相當(dāng)于給了攻擊者一個(gè)API,通過JS或者DOM和用戶的密碼管理器做交互。其危險(xiǎn)程度顯然比桌面應(yīng)用要大得多。

2015-01-21-54-lastpass.ae867.jpg

實(shí)際上,密碼管理器還是有其他選擇的,也完全不需要遭受通過JS直接訪問的風(fēng)險(xiǎn)尷尬,比如直接用桌面密碼管理器。另外主流的瀏覽器本身都有設(shè)計(jì)得不錯的內(nèi)置密碼管理器,也很易于使用,另外還能和移動端同步。

或者你也可以選擇將密碼放在本地,然后進(jìn)行加密。如果攻擊者想要獲得密碼首先要獲得你計(jì)算機(jī)的用戶權(quán)限,然后在你解密文件的時(shí)候查看密碼,這對攻擊者來說難度不小。

* 參考來源:NetworkWorld,BleepingComputer,米雪兒編譯,轉(zhuǎn)載請注明來自FreeBuf.COM 

 
 

上一篇:加入“記憶”,通用型人工智能又邁出一步

下一篇:2017年03月24日 聚銘安全速遞