Известный исследователь Тэвис Орманди решил снова проверить на прочность популярный менеджер паролей LastPass и был очень сильно удивлен, когда опять обнаружил в расширении для браузеров Chrome и Firefox опасную уязвимость, которая могла позволить злоумышленникам похитить все пароли пользователя.
В прошлом году Орманди совершил свою первую проверку на прочность. Результатом стало его искреннее удивление тем, что люди пользуются этим менеджером паролей. Эксперту удалось обнаружить в нем уязвимость нулевого дня, при эксплуатации которой хакеры запросто могли удаленно проникнуть на компьютер пользователя и похитить все его пароли. Уязвимым оказалось приложение для браузера Firefox. Тогда разработчики приложения выпустили патчи с заплатками для дыры, но на этот раз проверка тоже дала совершенно неудовлетворительные результаты.
Спустя год Орманди снова убедился в том, что LastPass не может полноценно защитить своих пользователей и их пароли из-за наличия критических уязвимостей в своих продуктах. Первым испытание на прочность провалило расширение для Chrome. Если злоумышленнику удастся заманить пользователя на специальный зараженный сайт, то он получит доступ к его менеджеру паролей и сможет удаленно копировать хранящиеся в нем пароли и потом использовать их для своих нужд.
По словам Орманди, с помощью обнаруженной уязвимости злоумышленник сможет удаленно выполнять на компьютере жертвы RPC-команды. Но это еще не самое страшное. Хуже всего то, что удаленно он получит доступ ко всем паролям пользователя, сможет их скопировать или внести свои изменения. А в некоторых случаях при достаточном мастерстве хакер сможет даже удаленно выполнить произвольный код.
Специалист отметил, что в расширении для Chrome, по всей видимости, уязвимость уже устранили. Сделать это удалось благодаря отключению 1min-ui-prod.service.lastpass.com. Но некоторые пользователи отмечают. Что их менеджер паролей по-прежнему остается уязвимым. В связи с этим Орманди советует пока отключить в своем браузере менеджер паролей и подождать, пока разработчики выпустят для него очередное обновление.
А на прошлой неделе Орманди удалось обнаружить еще одну критическую уязвимость. На этот раз свою слабость продемонстрировало расширение для Firefox. Схема атаки та же самая: злоумышленнику нужно заманить пользователя на вредоносный сайт. Только после этого он сможет скопировать все пароли, хранящиеся в менеджере.
Как стало известно, обновление с исправлением этой уязвимости уже готово, но его еще должны проанализировать специалисты Mozilla, чтобы избежать других возможных проблем. Рассматриваются исправления для версии 3.3.2. А пока они еще официально недоступны, пользователям рекомендуется перейти на ветку 4. Хотя и ее Орманди забраковал. Он обнаружил в LastPass 4.1.35 для Firefox брешь, через которую тоже можно украсть пароли.