安全研究员SeanCassidy卡法了针对LastPass密码管理服务的攻击方法,允许攻击者利用简单的方式便可收集到受害者的主密码。
Cassidy发现,当用户浏览网页时如果LastPass会话泄露,就会显示被注入到页面内容中的通知。而如果激活了登录页面和双因素认证代码,它们也会以同样的方式显示。
从安全角度来说这样的做法是绝对不可取的,因为它会导致用户遭受网络注入攻击,就像使用网上银行的用户遭受钓鱼攻击一样。研究人员还发现,攻击者能够恶意利用LastPass的这种显示方式。
研究员将攻击执行工具代码开源
Cassidy开发了工具LostPass并将其发布在GitHub上。这款工具能够对LastPass用户实施自动化的简单钓鱼攻击,并窃取用户密码。而攻击者需要做的就是将用户重新路由至易受XSS攻击的合法站点上。在这些合法但容易受到攻击的站点上,LostPass会利用XSS漏洞检测是否由用户在电脑上登录了LastPass,如发现它就会利用一个已知的CSRF问题将用户踢出去,并随后插入一个通知询问用户是否再次登录。如果用户点击了这个通知,就会出现一个虚假的登录页面,随后当用户输入登录凭证时,攻击者的服务器就会记录这些凭证。
攻击者能拦截双因素验证代码
此外,攻击者还能够对照LastPassAPI检查这些凭证是否准确,甚至会在双因素验证功能开启的情况下询问用户的双因素验证代码。如果一切执行正常,而且代码都被验证完毕,攻击者就能够利用相同的LastPassAPI从用户账户收集到所有信息,包括密码在内。
Cassidy表示LostPass只适用于Chrome浏览器环境,而其他浏览器如火狐等会通过浏览器专门的弹出信息显示LastPass的登录屏。Cassidy表示工具的实验版本支持火狐,LostPass也测试了LastPass的最新版本4.x系列。
LastPass并未正确处理
Cassidy在去年11月将这个问题报告给LastPass,但后者表示已确认该问题是钓鱼攻击,而不是LastPass自身的漏洞问题。LastPass曾试图通过在用户在网站中输入主密码时通过告警用户的方式来修复这个问题。但Cassidy表示这样做无济于事,因为这个告警信息也是一种网络注入而且能够被攻击者拦截并禁用。目前,Cassidy正在研究一种利用HTMLS和CSS来引发页面显示操作系统弹出信息的方法,以诱骗用户以为将密码输入了LastPass,而实际上输入了网页中。
一些缓解措施
Cassidy建议用户永远不要在浏览器中重新输入LastPass凭证,而是利用主应用进行再次验证。此外,他建议为LastPass付款版本开启IP限制功能,这样做要比双因素保护更加有效。此外,用户还应当禁用移动登录,并且记录所有的登录信息和登录失败。