研究人員發(fā)現(xiàn)LastPass 2FA可能變成1FA

LastPass在收到Salesforce安全研究員MartinVigo的警告后，用其雙因素身份驗(yàn)證(2FA)實(shí)現(xiàn)解決了許多問(wèn)題。

該公司表示，這些問(wèn)題現(xiàn)在已經(jīng)解決，用戶不必采取任何行動(dòng)。

LastPass在一篇博客文章中說(shuō)：“為了利用這個(gè)問(wèn)題，攻擊者需要采取幾個(gè)步驟來(lái)繞過(guò)谷歌認(rèn)證程序。

“首先，攻擊者必須將用戶吸引到一個(gè)邪惡的網(wǎng)站上。其次，用戶在訪問(wèn)惡意網(wǎng)站時(shí)必須登錄LastPass。這些因素結(jié)合在一起，降低了用戶可能受到影響的可能性?！?/p>

根據(jù)Vigo的編寫(xiě)，他發(fā)現(xiàn)Lastpass使用用戶密碼的散列來(lái)生成QR代碼，該代碼用于在用戶的設(shè)備上設(shè)置2FA。

維戈說(shuō)：“Lastpass就是把2FA的秘密種子存儲(chǔ)在一個(gè)可以從你的密碼導(dǎo)出的URL下面?！斑@實(shí)際上超過(guò)了2FA的全部目的，2FA是一層安全措施，以防止已經(jīng)擁有密碼的攻擊者登錄。

“要正確看待這件事，想象一下，如果你把你最有價(jià)值的東西放在家里，你就會(huì)有一個(gè)保險(xiǎn)箱。你認(rèn)為門(mén)和保險(xiǎn)箱有相同的鎖是個(gè)好主意嗎？門(mén)鑰匙也應(yīng)該打開(kāi)保險(xiǎn)箱嗎？”

結(jié)合跨站點(diǎn)請(qǐng)求偽造（CS RF），Vigo說(shuō)，他能夠避免認(rèn)證限制LastPass圍繞2FA過(guò)程。

他說(shuō)：“值得注意的是，攻擊者沒(méi)有必要潛入受害者的惡意網(wǎng)站?！薄肮粽呖梢允褂肍acebook或Gmail等受受害者信任的站點(diǎn)上的任何XSS添加有效負(fù)載，竊取QR代碼并將其發(fā)送回他的服務(wù)器?！?/p>

然后Vigo發(fā)現(xiàn)了另一個(gè)更簡(jiǎn)單的漏洞，允許他使用GET請(qǐng)求重新生成用戶的2FA種子，通過(guò)這樣做，LastPass將禁用用戶的2FA。

LastPass通過(guò)添加CSRF令牌解決了2FA禁用問(wèn)題，該公司正在尋找是否有任何其他CSRF漏洞。根據(jù)Vigo的說(shuō)法，該公司還為其qr代碼請(qǐng)求添加了對(duì)源頭的檢查，并將直接密碼哈希替換為基于鹽度的用戶ID哈希。

該公司在維哥通知他們問(wèn)題的第二天就申請(qǐng)了修復(fù)。

在過(guò)去的一年里，LastPass在安全方面有了一系列的突破。

3月，GoogleProjectZero研究人員TavisOrmandy在其Chrome擴(kuò)展上發(fā)現(xiàn)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞可能允許將不受信任的消息代理到LastPass。

Ormandy說(shuō)：“這允許完全訪問(wèn)內(nèi)部特權(quán)LastPass RPC命令?！皟?nèi)部有數(shù)百個(gè)LastPass RPC，但顯然壞的是復(fù)制和填寫(xiě)密碼（copypass、fill form等）的東西?！?/p>

LastPass早在2016年7月就去世了，當(dāng)時(shí)谷歌的研究人員發(fā)現(xiàn)了允許LastPass賬戶遠(yuǎn)程妥協(xié)的漏洞。