Исследователь информационной безопасности Шон Кэссиди представил разработанную им технику атаки на сервис менеджмента паролей LastPass, которая позволяет хакерам раскрывать мастер-пароль пользователя. Мастер-пароль необходим для того, чтобы получить доступ к логинам и паролям, сохраненным в LastPass.
Как рассказал Кэссиди, если сессия LastPass подходит к концу, то в контексте открытого сайта появится соответствующее уведомление. Страница повторной аутентификации также будет отображена в контексте открытого ресурса. Таким образом, в ходе фишинг-атаки злоумышленник может перенаправить жертву на страницу, уязвимую к межсайтовому скриптингу, и украсть мастер-пароль.
После того, как Кэссиди удалось успешно воспользоваться уязвимостью, он разместил на GitHub PoC-код в виде утилиты LostPass, используя которую можно осуществить автоматизированную фишинг-атаку на пользователей LastPass и украсть их мастер-пароли.
Также киберпреступник может с помощью LastPass API провести проверку логина и пароля, предоставленных жертвой, и сделать запрос кода двухфакторной аутентификации. Если хакер получит код, то у него появится возможность скомпрометировать любой логин и пароль.
Пока что утилита функционирует лишь в Интернет-браузере Chrome, однако Кэссиди пообещал вскоре разработать экспериментальную версию LostPass для Firefox.
Эксперт проинформировал разработчиков LastPass о найденной им ошибке. Однако создатели программного обеспечения для менеджмента паролей не планируют выпускать исправление. Они лишь предупредили пользователей о том, что нельзя вводить мастер-пароль через веб-сайт. При этом показ уведомлений также осуществляется в контексте открытого веб-сайта и у хакеров есть возможность их блокировать.