Новости об уязвимостях га джетов

**satvitek** · 23.04.2017, 14:14

Уязвимость в LastPass делала двухфакторную аутентификацию бесполезной

В менеджере паролей LastPass исправлена серьезная уязвимость, позволяющая обойти механизм двухфакторной аутентификации. По словам обнаружившего уязвимость исследователя Мартина Виго (Martin Vigo), проэксплуатировать ее можно, только предварительно взломав мастер-пароль пользователя.

Не стоит недооценивать проблему. Двухфакторная аутентификация представляет собой второй уровень защиты на случай, если злоумышленникам каким-либо образом удалось завладеть мастер-паролем пользователя. Обнаруженная Виго уязвимость сводит эффективность двухфакторной аутентификации в LastPass к нулю, делая ее совершенно бесполезной.

Проблема заключалась в том, что закрытые криптографические ключи LastPass в виде QR-кода хранились по URL-адресу, созданному на основе пароля. Атакующему, которому известен данный пароль, достаточно лишь вычислить хранящийся локально QR-код, получить второй код двухфакторной аутентификации и открыть чужой менеджер паролей.

Виго описал атаку следующим образом. Атакующий с помощью социальной инженерии заманивает пользователя на сайт с XSS-уязвимостью. Затем он получает QR-код по локальному URL-адресу, созданному на основе известного ему пароля, и с помощью XSS-атаки загружает и сохраняет его изображение. Далее злоумышленник сканирует QR-код с помощью приложения Google Authenticator, используемого LastPass для двухфакторной аутентификации, получает второй код и может открыть менеджер паролей.

Виго сообщил производителю о проблеме в феврале текущего года, и в тот же день было выпущено временное исправление. 20 апреля уязвимость была исправлена полностью.

23.04.2017, 14:14	#11
satvitek Модератор Online: 3мес0нед3дн Регистрация: 27.04.2014 Сообщений: 25,498 Репутация: 32814 (Вес: 849) Поблагодарили 16,237 раз(а)	Re: Новости об уязвимостях га джетов Уязвимость в LastPass делала двухфакторную аутентификацию бесполезной В менеджере паролей LastPass исправлена серьезная уязвимость, позволяющая обойти механизм двухфакторной аутентификации. По словам обнаружившего уязвимость исследователя Мартина Виго (Martin Vigo), проэксплуатировать ее можно, только предварительно взломав мастер-пароль пользователя. Не стоит недооценивать проблему. Двухфакторная аутентификация представляет собой второй уровень защиты на случай, если злоумышленникам каким-либо образом удалось завладеть мастер-паролем пользователя. Обнаруженная Виго уязвимость сводит эффективность двухфакторной аутентификации в LastPass к нулю, делая ее совершенно бесполезной. Проблема заключалась в том, что закрытые криптографические ключи LastPass в виде QR-кода хранились по URL-адресу, созданному на основе пароля. Атакующему, которому известен данный пароль, достаточно лишь вычислить хранящийся локально QR-код, получить второй код двухфакторной аутентификации и открыть чужой менеджер паролей. Виго описал атаку следующим образом. Атакующий с помощью социальной инженерии заманивает пользователя на сайт с XSS-уязвимостью. Затем он получает QR-код по локальному URL-адресу, созданному на основе известного ему пароля, и с помощью XSS-атаки загружает и сохраняет его изображение. Далее злоумышленник сканирует QR-код с помощью приложения Google Authenticator, используемого LastPass для двухфакторной аутентификации, получает второй код и может открыть менеджер паролей. Виго сообщил производителю о проблеме в феврале текущего года, и в тот же день было выпущено временное исправление. 20 апреля уязвимость была исправлена полностью. __________________ 1,2m полярка(60-12W)+0,9(5E+13E+19Е)+ 1,1m 36Е Sat-Integral SP-1329 HD Combo

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)