Súlyos biztonsági rések a LastPassban
Meglepetés-auditot kapott a Google elit biztonsági csapatától a LastPass - és nem is ment át rajta. Legalább négyféle komoly hiba volt a rendszerben, ebből három már kapott valamilyen javítást.
Valószínűleg a legmagasabb szintű riasztó szólal meg a techcégeknél, amikor Tavis Ormandytól, a Google Project Zero csapatának tagjától érkezik email. Most épp a LastPass szolgáltatásával és az ahhoz kapcsolódó kliensoldali, böngészős pluginokkal foglalkozik az IT-biztonsági kutató, talált is rögtön három nagyon súlyos sebezhetőséget.
Három komoly hiba
Az első probléma a LastPass firefoxos beépülőjében van, egész pontosan annak kivezetés alatt, 3.x-es ágán. Ezt a sorozatot a LastPass már nem tartja karban (biztonsági javításokat azért kap), azonban (feltételezhetően figyelmetlenség miatt) egy, a 4.x-es ágon elvégzett, 2015-ös javítás backportolásába hiba csúszott, így az a régi verzióban továbbra is kihasználható maradt. A hiba lehetővé tette, hogy támadók megfelelően preparált weboldalra csábítva tetszőleges doménhez tartozó LastPass-jelszavakat lopjanak a felhasználótól - meglehetősen súlyos probléma egy jelszókezelőnél. A sebezhetőséget a LastPass már javította, a felhasználóknál automatikusan frissül a beépülő a 3.3.4-es verzióra, amely már biztonságos. Szerencsére a felhasználók túlnyomó része már a 4.x-et használja, így az érintett felhasználók köre relatíve szűk volt.
A második hiba a LastPass belső parancsaihoz enged hozzáférést - megint csak a meglátogatott weboldal készítőjének. Ilyen parancsokból nagyon sok (több száz) van, a legveszélyesebbek értelemszerűen a jelszavak másolására és beillesztésére vonatkoznak, amelyek a weboldal számára lehetővé teszik ezek ellopását. Még egy fokkal veszélyesebb, hogy a LastPass-bináris jelenlétében elérhetővé válik a külső állományok megnyitását lehetővé tévő parancs is, ami távoli kódfuttatást tesz lehetővé. A LastPass ezt a hibát is gyorsan javította az érintett domén letiltásával - amire Ormandy is elismerte, hogy a közvetlen veszély elhárult, az alap problémát azonban ez még nem orvosolta, várhatóan alaposabb javításra lesz ehhez szükség.
A harmadik hiba ennek "továbbfejlesztett" verziója, amely a fenti mitigáció ellenére is működik - igaz, csak Firefoxot használva. A böngésző ugyanis a tiltás ellenére betölti a scriptet, ezzel le tud futni a sebezhetőséget kihasználó programrészlet. Azonban mivel ezt a böngésző a pluginnek tulajdonítja, jóval magasabb jogosultságot biztosít neki, amivel például kiolvasható a LastPass jelszótárolójából a tárolt információ. A cég szerint ez "egy egyedi és nagyon szofisztikált támadás", amelyre egyébként a zuhany alatt jött rá a biztonsági szakértő. A javítást időközben erre is kiadta a cég, a LastPass 4.1.36a már nem tartalmazza a hibát - a javított plugin automatikusan letöltődik a felhasználók gépére.
Ah-ha, I had an epiphany in the shower this morning and realized how to get codeexec in LastPass 4.1.43. Full report and exploit on the way. pic.twitter.com/vQn20D9VCy
- Tavis Ormandy (@taviso) March 25, 2017
Ez a hármas pedig még nem is jelenti a sztori végét, szombaton zuhanyozás közben egy újabb sebezhetőség jutott hősünk eszébe - ez azonban még nem került fel a Project Zero bug-adatbázisába. Ormandy azonban átküldte már a hiba leírását a LastPassnak, a cég pedig ma reggel külön blogbejegyzésben ismerte el annak létezését. A sebezhetőségek egész pontos leírása még nem érhető el, de a LastPass ígérete szerint ahogy elkészül a frissítés részletes posztmortemben számol majd be róla - kíváncsian várjuk.
Akcióban a Project Zero
A Google még 2014-ben hozta létre saját elit információbiztonsági csapatát, amelynek főállású tagjai kizárólag azzal foglalkoznak, hogy népszerű, elterjedt szoftverekben (és hardverekben) keresnek hibát. Így a csapat nem csak a Google szolgáltatásaival foglalkozik, a Microsoft operációs rendszerei irodai programcsomagja és böngészői, az Apple Safari, az Adobe Reader, a Comodo, az Avast, a McAfee, a Symantec vírusirtói és számtalan más szoftver is került már fókuszba. De ez a csapat találta az OpenSSL-ben a Heartbleed hibát is.
A Project Zero saját szabályai szerint dolgozik, amely 90 napos türelmi időt ad a javításra az illetékes cégnek. Ennek lejártával a kutatók közzéteszik a sebezhetőség részletes leírását, amelynek birtokában rosszindulatú támadók is kihasználhatják azt. A csapat (és a Google) szigorúan ragaszkodik ehhez a határidőhöz, amely korábban már egészen nagy cégeket is nehéz helyzetbe hozott, a Microsoft például korábban már futott ki a türelmi időből, a csapat pedig kérlelhetetlenül közzétette a hiba részletes leírását.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A hiba bejelentése egyébként azért is érdekes, mert Ormandy nyilvánosan (Twitteren) bejelentette a hiba létezését - ez nem mond ellent a 90 napos türelmi időnek, hiszen a kihasználáshoz szükséges részleteket nem tette közzé. Ennek ellenére komoly szakmai vitát kavart az ügy, többen vádolták azzal a szakértőt, hogy a hiba létezésének nyilvánosságra hozatalával is komoly kárt okoz, illetve saját 90 napos határidejét sem tartja be.
A LastPass mindenesetre roppant barátságos hangnemet ütött meg, a blogposztban köszönetet mond Ormandy munkájáért, amellyel közvetlenül is biztonságosabbá tette a szolgáltatást és annak kliensoldalon futó moduljait. Ormandy szintén roppant elégedett volt a LogMeIn-LastPass csapat munkájával, különösen a gyors kommunikáció és a villámgyors javítások tetszettek a Google biztonsági kutatójának.
A fentiekkel kapcsolatban megkerestük a részben budapesti fejlesztőcsapatot is, amennyiben érkezik válasz, frissítjük a hírt.