Уязвимость позволяет хакерам обходить механизм 2FA в LastPass
Главная » Новости

Уязвимость позволяет хакерам обходить механизм 2FA в LastPass

Олег Иванов 24 Апреля 2017 - 15:40
...
Уязвимость позволяет хакерам обходить механизм 2FA в LastPass

Уязвимость в реализации двухфакторной аутентификации (2FA) в LastPass могла быть использованы хакерами для обхода механизма защиты и получения доступа к учетным записям пользователей.

Мартин Виго (Martin Vigo), один из исследователей Salesforce, который в ноябре 2015 года сообщил о наличии нескольких уязвимостей в LastPass, в очередной раз проанализировал популярный менеджер паролей, уделив особое внимание механизму 2FA.

Временные коды 2FA генерируются на основе нескольких переменных, включая секретное число, обычно закодированное в QR-коде, который пользователь сканирует с помощью 2FA-приложения, например, Google Authenticator.

Тесты Виго показали, что запрос, сделанный при отображении пользователю QR-кода, содержал хеш логина, используемого LastPass для аутентификации. Фактически, секретный ключ 2FA был получен из пароля пользователя, что ставит под сомнение всю цель защиты 2FA, поскольку атакующий предположительно уже знает пароль.

Для того чтобы атака сработала, хакер должен быть авторизован, эта проблема решается эксплуатацией уязвимости межсайтового запроса (CSRF). Заставив зарегистрированного пользователя пройти по ссылке, эксплуатирующей уязвимость CSRF, злоумышленник может получить изображение QR-кода.

По словам Виго, злоумышленник мог также использовать уязвимости на разных популярных сайтах, чтобы осуществить атаку межсайтового скриптинга (XSS). Это позволит хакеру использоваться сторонние сайты для перенаправления пользователя.

Исследователь также нашел простой способ отключить 2FA, используя уязвимость CSRF. Как и во всех атаках подобного рода, хакеру нужно заставить жертву посетить вредоносный веб-сайт.

Эксперт проинформировал LastPass 7 февраля и компания сразу же приступила к работе над исправлениями. В конце концов, LastPass добавила механизм безопасности для проверки происхождения запроса QR-кода и исключила использование хэша паролей для секретного ключа.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
По России распространяется инвестиционная афера от имени ГазИнвеста
Новость
По России распространяется инвестиционная афера от имени Газ...
Новая Android-угроза SuperCard X крадёт карты через NFC и социнжиниринг
Новость
Новая Android-угроза SuperCard X крадёт карты через NFC и со...
Patch Tuesday: критические RCE в Office и 0-day в SQL Server
Новость
Patch Tuesday: критические RCE в Office и 0-day в SQL Server

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.