去年,LastPass 是兩次電腦攻擊的受害者。經過調查,LastPass 發現兩次進攻是相連的。具體來說,駭客利用第一次入侵期間竊取的資料來煽動第二次違規行為。
該公司近期詳細揭露了駭客的作案手法。攻擊者開始於滲透 LastPass 開發人員之一的個人計算機。他們使用間諜軟體取得了該工程師的專業資格證書。然後,駭客能夠進入雲端中的共享工作區並竊取客戶保管庫備份的加密金鑰…而 LastPass 並不知情。
一個可追溯到 2020 年的 Plex 缺陷
為了滲透開發人員的計算機,駭客利用了程式碼中的漏洞“易受攻擊的第三方媒體軟體”,LastPass 解釋道。根據 PCMag 收集到的信息,LastPass 提到的軟體正是 Plex。密碼管理器已確認這確實是 Plex。
我們 PCMag 的同事特別強調叢裂縫被攻擊者利用來獲取敏感的 LastPass 數據,其歷史可以追溯到 2020 年。
據 Plex 稱,該缺陷允許“攻擊者可以存取伺服器管理員的 Plex 帳戶,透過從相機下載功能下載惡意文件,並由媒體伺服器執行”。攻擊者可以濫用此功能部署惡意程式碼僅在獲得伺服器 Plex 帳戶的存取權限後,才能在受害者的電腦上進行攻擊。這正是 LastPass 駭客的目的,目的是滲透工程師 PC 上的鍵盤記錄器。
一個粗心的開發商
該漏洞立即透過更新得到修正。在兒子網站,Plex 建議用戶立即安裝 1.19.3 或更高版本的軟體,以保護自己免受可能的攻擊。不幸的是,LastPass 的開發者已經忽略更新軟體與修復。自 2020 年 5 月以來,Plex 已部署其軟體的多個版本:
「不幸的是,LastPass 員工從未升級他們的軟體來啟動修補程式。作為參考,修復此漏洞的版本是在大約 75 個版本前部署的。如果沒有更多資訊或細節,我們無法推測此人為何這麼長時間沒有更新 Plex。。
最終,破解 LastPass 密碼本來是可以避免的如果被駭客瞄準的工程師只是安裝了 Plex 更新。攻擊者甚至很可能在工程師的電腦上發現了舊版的 Plex 後,決定將攻擊重點放在工程師身上。
幾個月來,海盜們進行了偵察行動,以完善他們的計劃。部署間諜病毒時,攻擊者已取得 Plex 伺服器的管理員存取權限他們的受害者。在偵察階段,攻擊者顯然調查了 LastPass 系統的所有入口點。連接到充滿敏感資料的雲端空間並配備舊的、有缺陷的軟體版本的個人電腦很快就成為最明顯的進入範圍。
鑑於這種忽視的後果,Plex 宣布了鼓勵用戶安裝更新的措施。這家加州公司將展示“透過管理 UI 發出有關可用更新的通知”。如果網路使用者繼續忘記這些,Plex 賦予自己以下權利:“自動更新”在某些情況下。
不管怎樣,開發者的魯莽行為讓 LastPass 付出了慘痛的代價。的確,密碼管理器的聲譽已經被盜版深深玷汙了…
來源 : PCMag
