Специалисты нашли 25 векторов атак на Bitwarden, LastPass и Dashlane

Екатерина Быстрова 17 Февраля 2026 - 09:03

...

Специалисты нашли 25 векторов атак на Bitwarden, LastPass и Dashlane

Исследователи из ETH Zurich и Università della Svizzera italiana заявили: популярные облачные менеджеры паролей — Bitwarden, LastPass и Dashlane — при определённых условиях уязвимы к атакам, которые могут привести к восстановлению паролей и даже компрометации целых хранилищ.

Речь идёт о сценарии со «злонамеренным сервером».

Специалисты решили проверить, насколько на практике работают обещания zero-knowledge encryption (ZKE) — модели, при которой провайдер не должен иметь доступа к содержимому пользовательского хранилища. В теории сервер ничего «не знает» о ваших данных. На практике всё оказалось сложнее.

В ходе исследования выявили 12 типов атак против Bitwarden, семь — против LastPass и шесть — против Dashlane. Диапазон последствий — от нарушения целостности отдельных записей до полной компрометации всех хранилищ в организации. В общей сложности эти сервисы обслуживают более 60 млн пользователей и около 125 тыс. компаний.

По словам авторов работы, проблемы связаны с архитектурными анти-паттернами и криптографическими ошибками. Среди выявленных сценариев — атаки на механизм восстановления доступа (key escrow), уязвимости в поэлементном шифровании (когда данные и метаданные защищены по-разному), риски, связанные с функциями совместного доступа, а также downgrade-атаки из-за поддержки устаревших механизмов шифрования.

Исследование также затронуло 1Password. Авторы указали на уязвимости, связанные с моделью поэлементного шифрования и шарингом, однако в компании заявили, что речь идёт об уже известных архитектурных ограничениях. В 1Password подчеркнули, что не обнаружили новых векторов атак сверх задокументированных и продолжают усиливать защиту, включая использование протокола Secure Remote Password (SRP).

Bitwarden, Dashlane и LastPass сообщили, что внедряют или уже внедрили меры по снижению рисков. Dashlane, например, устранила проблему, позволявшую при компрометации серверов понизить модель шифрования, отказавшись от поддержки устаревшей криптографии в версии расширения 6.2544.1 (ноябрь 2025 года).

Bitwarden заявила, что большинство выявленных вопросов уже закрыты или находятся в стадии исправления. LastPass пообещала усилить механизмы контроля целостности данных и доработать процессы сброса паролей и шаринга.

Важно: на данный момент нет доказательств того, что эти уязвимости эксплуатировались в реальных атаках.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Татьяна Никитина 17 Февраля 2026 - 18:24

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Positive Technologies

Злоумышленники пытались забэкдорить телеком Кыргызстана и Таджикистана

Осенью 2025 года специалисты Positive Technologies по киберразведке выявили две схожие кампании, нацеленные на засев бэкдоров в сетях телеком-провайдеров Кыргызстана. В прошлом месяце атаки по тому же сценарию проводились в Таджикистане.

Во всех случаях злоумышленники прибегли к имейл-рассылкам на адреса целевых организаций. Поддельные письма содержали вредоносное вложение либо ссылку на такой файл; сами зловреды были замаскированы под легитимные компоненты Microsoft Windows.

Фальшивки, разосланные в сентябре киргизским операторам связи, были написаны от имени потенциальных клиентов. Автор интересовался действующими тарифами мобильной связи.

При открытии вложения получателю отображалась картинка с русскоязычной просьбой включить макрос. При его активации жертве для отвода глаз показывали тарифный план (скопированный у другого провайдера!), и происходила установка целевого зловреда.

Анализ показал, что загруженный скриптом бэкдор (в PT его нарекли LuciDoor) написан на C++ и умеет подключаться к C2 не только напрямую, но также через системные прокси и другие серверы в инфраструктуре жертвы. В его задачи входят сбор информации о зараженном устройстве, загрузка программ и эксфильтрация данных.

Повторные атаки на телеком Кыргызстана были зафиксированы в ноябре. Злоумышленники сменили документ-приманку, допустив тот же промах (в нем было указано имя, не совпадающее с адресатом), и итоговый Windows-бэкдор — на сей раз это был MarsSnake, уже засветившийся в шпионских атаках на территории Саудовской Аравии.

Бэкдор MarsSnake примечателен простотой настройки: изменения вносятся через обновление параметров в загрузчике, то есть не требуют времени на пересборку исполняемого файла. После закрепления зловред собирает системные данные, создает уникальный идентификатор и передает все на C2.

«Интересно, что в атаках прошлого года вредоносные документы были на русском языке, при этом в настройках фигурировали арабский, английский и китайский, — отметил эксперт PT ESC TI Александр Беляев. — В файлах мы также обнаружили поле, свидетельствующее об использовании китайского языка. Вероятно, у злоумышленников установлен пакет Microsoft Office с соответствующим параметром, или они применили шаблон документа на китайском».

В ходе январских имейл-атак на территории Таджикистана вместо вредоносных вложений использовались ссылки. Картинка с призывом активировать макрос изменилась, а текст был оформлен на английском языке. В качестве целевого зловреда вновь выступал LuciDoor, но уже в другой конфигурации.