Szerző: Gálffy Csaba

2017. március 27. 16:09

Súlyos biztonsági rések a LastPassban

Meglepetés-auditot kapott a Google elit biztonsági csapatától a LastPass - és nem is ment át rajta. Legalább négyféle komoly hiba volt a rendszerben, ebből három már kapott valamilyen javítást.

Valószínűleg a legmagasabb szintű riasztó szólal meg a techcégeknél, amikor Tavis Ormandytól, a Google Project Zero csapatának tagjától érkezik email. Most épp a LastPass szolgáltatásával és az ahhoz kapcsolódó kliensoldali, böngészős pluginokkal foglalkozik az IT-biztonsági kutató, talált is rögtön három nagyon súlyos sebezhetőséget.

Három komoly hiba

Az első probléma a LastPass firefoxos beépülőjében van, egész pontosan annak kivezetés alatt, 3.x-es ágán. Ezt a sorozatot a LastPass már nem tartja karban (biztonsági javításokat azért kap), azonban (feltételezhetően figyelmetlenség miatt) egy, a 4.x-es ágon elvégzett, 2015-ös javítás backportolásába hiba csúszott, így az a régi verzióban továbbra is kihasználható maradt. A hiba lehetővé tette, hogy támadók megfelelően preparált weboldalra csábítva tetszőleges doménhez tartozó LastPass-jelszavakat lopjanak a felhasználótól - meglehetősen súlyos probléma egy jelszókezelőnél. A sebezhetőséget a LastPass már javította, a felhasználóknál automatikusan frissül a beépülő a 3.3.4-es verzióra, amely már biztonságos. Szerencsére a felhasználók túlnyomó része már a 4.x-et használja, így az érintett felhasználók köre relatíve szűk volt.

A második hiba a LastPass belső parancsaihoz enged hozzáférést - megint csak a meglátogatott weboldal készítőjének. Ilyen parancsokból nagyon sok (több száz) van, a legveszélyesebbek értelemszerűen a jelszavak másolására és beillesztésére vonatkoznak, amelyek a weboldal számára lehetővé teszik ezek ellopását. Még egy fokkal veszélyesebb, hogy a LastPass-bináris jelenlétében elérhetővé válik a külső állományok megnyitását lehetővé tévő parancs is, ami távoli kódfuttatást tesz lehetővé. A LastPass ezt a hibát is gyorsan javította az érintett domén letiltásával - amire Ormandy is elismerte, hogy a közvetlen veszély elhárult, az alap problémát azonban ez még nem orvosolta, várhatóan alaposabb javításra lesz ehhez szükség.

A harmadik hiba ennek "továbbfejlesztett" verziója, amely a fenti mitigáció ellenére is működik - igaz, csak Firefoxot használva. A böngésző ugyanis a tiltás ellenére betölti a scriptet, ezzel le tud futni a sebezhetőséget kihasználó programrészlet. Azonban mivel ezt a böngésző a pluginnek tulajdonítja, jóval magasabb jogosultságot biztosít neki, amivel például kiolvasható a LastPass jelszótárolójából a tárolt információ. A cég szerint ez "egy egyedi és nagyon szofisztikált támadás", amelyre egyébként a zuhany alatt jött rá a biztonsági szakértő. A javítást időközben erre is kiadta a cég, a LastPass 4.1.36a már nem tartalmazza a hibát - a javított plugin automatikusan letöltődik a felhasználók gépére.

 

 

Ez a hármas pedig még nem is jelenti a sztori végét, szombaton zuhanyozás közben egy újabb sebezhetőség jutott hősünk eszébe - ez azonban még nem került fel a Project Zero bug-adatbázisába. Ormandy azonban átküldte már a hiba leírását a LastPassnak, a cég pedig ma reggel külön blogbejegyzésben ismerte el annak létezését. A sebezhetőségek egész pontos leírása még nem érhető el, de a LastPass ígérete szerint ahogy elkészül a frissítés részletes posztmortemben számol majd be róla - kíváncsian várjuk.

Akcióban a Project Zero

A Google még 2014-ben hozta létre saját elit információbiztonsági csapatát, amelynek főállású tagjai kizárólag azzal foglalkoznak, hogy népszerű, elterjedt szoftverekben (és hardverekben) keresnek hibát. Így a csapat nem csak a Google szolgáltatásaival foglalkozik, a Microsoft operációs rendszerei irodai programcsomagja és böngészői, az Apple Safari, az Adobe Reader, a Comodo, az Avast, a McAfee, a Symantec vírusirtói és számtalan más szoftver is került már fókuszba. De ez a csapat találta az OpenSSL-ben a Heartbleed hibát is.

A Project Zero saját szabályai szerint dolgozik, amely 90 napos türelmi időt ad a javításra az illetékes cégnek. Ennek lejártával a kutatók közzéteszik a sebezhetőség részletes leírását, amelynek birtokában rosszindulatú támadók is kihasználhatják azt. A csapat (és a Google) szigorúan ragaszkodik ehhez a határidőhöz, amely korábban már egészen nagy cégeket is nehéz helyzetbe hozott, a Microsoft például korábban már futott ki a türelmi időből, a csapat pedig kérlelhetetlenül közzétette a hiba részletes leírását.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A hiba bejelentése egyébként azért is érdekes, mert Ormandy nyilvánosan (Twitteren) bejelentette a hiba létezését - ez nem mond ellent a 90 napos türelmi időnek, hiszen a kihasználáshoz szükséges részleteket nem tette közzé. Ennek ellenére komoly szakmai vitát kavart az ügy, többen vádolták azzal a szakértőt, hogy a hiba létezésének nyilvánosságra hozatalával is komoly kárt okoz, illetve saját 90 napos határidejét sem tartja be.

A LastPass mindenesetre roppant barátságos hangnemet ütött meg, a blogposztban köszönetet mond Ormandy munkájáért, amellyel közvetlenül is biztonságosabbá tette a szolgáltatást és annak kliensoldalon futó moduljait. Ormandy szintén roppant elégedett volt a LogMeIn-LastPass csapat munkájával, különösen a gyors kommunikáció és a villámgyors javítások tetszettek a Google biztonsági kutatójának.

A fentiekkel kapcsolatban megkerestük a részben budapesti fejlesztőcsapatot is, amennyiben érkezik válasz, frissítjük a hírt.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról