Một lỗ hổng zero-day nghiêm trọng đã được phát hiện trong trình quản lý mật khẩu đám mây phổ biến LastPass có thể cho phép bất kỳ kẻ tấn công từ xa nào xâm phạm hoàn toàn tài khoản của bạn.
LastPass là một trong những trình quản lý mật khẩu tốt nhất cũng có sẵn dưới dạng tiện ích mở rộng trình duyệt tự động điền thông tin xác thực cho bạn.
Tất cả những gì bạn cần là nhớ một mật khẩu chính để mở khóa tất cả các mật khẩu khác của các tài khoản trực tuyến khác nhau của bạn, giúp bạn sử dụng mật khẩu duy nhất cho các trang web khác nhau dễ dàng hơn nhiều.
Tuy nhiên, trình quản lý mật khẩu không an toàn như nó hứa hẹn.
Cũng đọc: Các trình quản lý mật khẩu phổ biến không an toàn như bạn nghĩ
Tin tặc dự án Google Zero Tavis Ormandy đã phát hiện ra một số vấn đề bảo mật trong phần mềm cho phép anh ta đánh cắp mật khẩu được lưu trữ bằng LastPass.
“Mọi người có thực sự sử dụng thứ LastPass này không? Tôi đã xem qua và có thể thấy một loạt các vấn đề nghiêm trọng rõ ràng. Tôi sẽ gửi báo cáo càng sớm càng tốt,” Ormandy tiết lộ trên Twitter.
Sau khi thỏa hiệp tài khoản LastPass của nạn nhân, tin tặc sẽ có thể truy cập vào kho tàng mật khẩu cho các dịch vụ trực tuyến khác của nạn nhân.
Vì LastPass đang nghiên cứu cách khắc phục lỗ hổng zero-day nên các chi tiết kỹ thuật về các vấn đề chưa được nhà nghiên cứu tiết lộ.
Cũng đọc: Trình quản lý mật khẩu tốt nhất — Dành cho Windows, Linux, Mac, Android, iOS và Enterprise
Lỗi cũ tương tự trong Trình quản lý mật khẩu LastPass:
Thật trùng hợp, một nhà nghiên cứu bảo mật khác là Mathias Karlsson cũng thông báo rằng ông đã phát hiện ra một số vấn đề trong LastPass và đã được công ty vá lỗi.
Một URL được chế tạo đặc biệt là đủ để kiểm soát hoàn toàn các tài khoản của người dùng.
Như Karlsson đã giải thích trong một bài đăng trên blog được xuất bản ngày hôm nay, kẻ tấn công có thể gửi một URL được tạo đặc biệt cho nạn nhân để đánh cắp mật khẩu từ kho tiền của họ.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Lỗ hổng cụ thể này nằm trong chức năng tự động điền của tiện ích mở rộng trình duyệt LastPass, trong đó một biểu thức chính quy bị lỗi để phân tích cú pháp URL đã cho phép kẻ tấn công giả mạo miền được nhắm mục tiêu.
“Bằng cách duyệt URL này: https://avlidienbrunn.se/@twitter.com/@hehe.php, trình duyệt sẽ coi tên miền hiện tại là avlidienbrunn.se trong khi phần mở rộng sẽ coi nó là twitter.com,” Karlsson giải thích.
Do đó, bằng cách lạm dụng chức năng tự động điền biểu mẫu, tin tặc có thể đánh cắp mật khẩu Facebook của nạn nhân, chẳng hạn như, bằng cách gửi URL POC chứa facebook.com cho nạn nhân.
Lỗ hổng cụ thể này đã được công ty vá trong vòng một ngày và Karlsson thậm chí còn được thưởng 1.000 USD tiền thưởng sửa lỗi.
Cũng đọc: Ai chịu trách nhiệm về mật khẩu yếu?
Chà, các vấn đề trong trình quản lý mật khẩu thực sự đáng lo ngại, nhưng điều này không có nghĩa là bạn nên ngừng sử dụng trình quản lý mật khẩu. Trình quản lý mật khẩu vẫn khuyến khích bạn sử dụng mật khẩu phức tạp và duy nhất cho từng trang web.
Sau sự cố mới nhất, người dùng có thể tránh các trình quản lý mật khẩu dựa trên trình duyệt và thay vào đó chuyển sang các phiên bản ngoại tuyến, như KeePass.
Cập nhật: LastPass đã nhanh chóng vá lỗ hổng do Tavis Ormandy báo cáo và đưa ra bản cập nhật có sửa lỗi cho tất cả người dùng Firefox sử dụng LastPass 4.
“Báo cáo gần đây chỉ ảnh hưởng đến người dùng Firefox. Nếu bạn là người dùng Firefox chạy LastPass 4.0 trở lên, một bản cập nhật sẽ được đẩy qua trình duyệt của bạn với bản sửa lỗi trong phiên bản 4.1.21a.” LastPass cho biết trong một bài đăng trên blog.
