研究人員發(fā)現(xiàn)LastPass 2FA可能變成1FA

LastPass在收到Salesforce安全研究員MartinVigo的警告后，用其雙因素身份驗證(2FA)實現(xiàn)解決了許多問題。

該公司表示，這些問題現(xiàn)在已經(jīng)解決，用戶不必采取任何行動。

LastPass在一篇博客文章中說：“為了利用這個問題，攻擊者需要采取幾個步驟來繞過谷歌認證程序。

“首先，攻擊者必須將用戶吸引到一個邪惡的網(wǎng)站上。其次，用戶在訪問惡意網(wǎng)站時必須登錄LastPass。這些因素結(jié)合在一起，降低了用戶可能受到影響的可能性?！?/p>

根據(jù)Vigo的編寫，他發(fā)現(xiàn)Lastpass使用用戶密碼的散列來生成QR代碼，該代碼用于在用戶的設備上設置2FA。

維戈說：“Lastpass就是把2FA的秘密種子存儲在一個可以從你的密碼導出的URL下面?！斑@實際上超過了2FA的全部目的，2FA是一層安全措施，以防止已經(jīng)擁有密碼的攻擊者登錄。

“要正確看待這件事，想象一下，如果你把你最有價值的東西放在家里，你就會有一個保險箱。你認為門和保險箱有相同的鎖是個好主意嗎？門鑰匙也應該打開保險箱嗎？”

結(jié)合跨站點請求偽造（CS RF），Vigo說，他能夠避免認證限制LastPass圍繞2FA過程。

他說：“值得注意的是，攻擊者沒有必要潛入受害者的惡意網(wǎng)站?！薄肮粽呖梢允褂肍acebook或Gmail等受受害者信任的站點上的任何XSS添加有效負載，竊取QR代碼并將其發(fā)送回他的服務器?！?/p>

然后Vigo發(fā)現(xiàn)了另一個更簡單的漏洞，允許他使用GET請求重新生成用戶的2FA種子，通過這樣做，LastPass將禁用用戶的2FA。

LastPass通過添加CSRF令牌解決了2FA禁用問題，該公司正在尋找是否有任何其他CSRF漏洞。根據(jù)Vigo的說法，該公司還為其qr代碼請求添加了對源頭的檢查，并將直接密碼哈希替換為基于鹽度的用戶ID哈希。

該公司在維哥通知他們問題的第二天就申請了修復。

在過去的一年里，LastPass在安全方面有了一系列的突破。

3月，GoogleProjectZero研究人員TavisOrmandy在其Chrome擴展上發(fā)現(xiàn)了一個遠程代碼執(zhí)行漏洞，該漏洞可能允許將不受信任的消息代理到LastPass。

Ormandy說：“這允許完全訪問內(nèi)部特權(quán)LastPass RPC命令?！皟?nèi)部有數(shù)百個LastPass RPC，但顯然壞的是復制和填寫密碼（copypass、fill form等）的東西。”

LastPass早在2016年7月就去世了，當時谷歌的研究人員發(fā)現(xiàn)了允許LastPass賬戶遠程妥協(xié)的漏洞。