Уязвимости в LastPass позволяют злоумышленникам красть пароли

Уязвимости в LastPass позволяют злоумышленникам красть пароли

Исследователь Google Project Zero Тэвис Орманди (Tavis Ormandy) предупредил о наличии критических уязвимостей в расширении LastPass для Chrome и Firefox. Обнаруженные бреши могут быть использованы для кражи паролей.

Орманди сначала сообщил об обнаружении уязвимости в расширении LastPass для Firefox (версия 3.3.2). Детали бреши не были обнародованы. Разработчики LastPass заявили, что в курсе наличия этой уязвимости и работают над патчем. У них теперь есть 90 дней на устранение этой дыры в безопасности, согласно правилам Project Zero. По истечении этого срока, если разработчики не устранят уязвимость, ее подробности будут обнародованы.

Во вторник исследователь Project Zero сообщил об обнаружении еще одной уязвимости, которая затронула версии LastPass как для Chrome, так и для Firefox. Эта брешь может позволить хакеру украсть пароли пользователя и выполнить произвольный код с помощью команд удаленного вызова процедур (RPC). Для эксплуатации этой уязвимости злоумышленнику нужно заманить пользователя на специально созданный сайт.

В течение нескольких часов после изучения этой бреши, разработчики LastPass реализовали временное решение, а затем и полностью устранили проблему на стороне сервера. От пользователей не требуется предпринимать каких-либо действий.

Орманди опубликовал подробности этой уязвимости, в том числе и код, доказывающий ее наличие. LastPass, в свою очередь, пообещала в своем блоге предоставить более подробную информацию.

По словам Орманди, уязвимость существовала из-за скрипта contentConnector.js, таким образом, предоставляя злоумышленнику полный доступ к внутренним командам LastPass (например, копирования или заполнения паролей).

Вскоре после того, как LastPass объявила об устранении бреши, эксперт написал в Twitter, что он обнаружил еще одну уязвимость, которая может быть использована для кражи паролей для любого домена.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

28% сотрудников компаний сливают рабочие логины и пароли фишерам

Тренировочные фишинговые рассылки, проведенные МТС RED в рамках сервиса Security Awareness, показали, что около трети сотрудников компаний переходят по ссылкам в таких письмах, а 28% оставляют на фейковых сайтах ключи от рабочих аккаунтов.

Пробные сообщения были разосланы 1018 сотрудникам крупных компаний. Результаты показали, что 319 получателей не умеют распознавать письма фишеров, а 285 — поддельные страницы.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, — стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, — комментирует Илья Одинцов, руководитель направления Security Awareness. — Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже».

Примечательно, что после первого обучения с использованием результатов тренировки доля переходов сокращается два раза и более. Однако хорошие показатели держатся недолго и откатываются до прежнего уровня. Следовательно, такие тренинги эффективны, когда они проводятся регулярно.

Статистика получена путем анализа результатов тренировочных рассылок, проведенных в 2024 году с февраля по март. В качестве темы в письмах фигурировали внутренние новости компаний, а также подарки к 23 Февраля и 8 Марта.

Перед праздниками объемы фишинга обычно возрастают. По данным МТС RED SOC, в этом году всплеск такой активности наблюдался только накануне 8 Марта. Скачок был заметным: за несколько дней число посланий фишеров возросло на 27%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru