去年,LastPass 是两次计算机攻击的受害者。经过调查,LastPass 发现两次进攻是相连的。具体来说,黑客利用第一次入侵期间窃取的数据来煽动第二次违规行为。
该公司近期详细揭露了黑客的作案手法。攻击者开始于渗透 LastPass 开发人员之一的个人计算机。他们使用间谍软件获取了该工程师的专业资格证书。然后,黑客能够进入云中的共享工作区并窃取客户保管库备份的加密密钥……而 LastPass 并不知情。
一个可追溯到 2020 年的 Plex 缺陷
为了渗透开发人员的计算机,黑客利用了代码中的漏洞“易受攻击的第三方媒体软件”,LastPass 解释道。根据 PCMag 收集到的信息,LastPass 提到的软件正是 Plex。密码管理器已确认这确实是 Plex。
我们 PCMag 的同事特别强调丛裂缝被攻击者利用来获取敏感的 LastPass 数据,其历史可以追溯到 2020 年。在媒体质疑下,Plex 指出,灾难根源的漏洞已于 2020 年 5 月公开披露。
据 Plex 称,该缺陷允许“攻击者可以访问服务器管理员的 Plex 帐户,通过从相机下载功能下载恶意文件,并由媒体服务器执行”。攻击者可以滥用此功能部署恶意代码仅在获得服务器 Plex 帐户的访问权限后,才能在受害者的计算机上进行攻击。这正是 LastPass 黑客的目的,目的是渗透工程师 PC 上的键盘记录器。
一个粗心的开发商
该漏洞立即通过更新得到纠正。在儿子网站,Plex 建议用户立即安装 1.19.3 或更高版本的软件,以保护自己免受可能的攻击。不幸的是,LastPass 的开发者已经忽略更新软件与修复。自 2020 年 5 月以来,Plex 已部署其软件的多个版本:
“不幸的是,LastPass 员工从未升级他们的软件来激活补丁。作为参考,修复此漏洞的版本是在大约 75 个版本前部署的。如果没有更多信息或细节,我们无法推测此人为何这么长时间没有更新 Plex。”。
最终,破解 LastPass 密码本来是可以避免的如果被黑客瞄准的工程师只是安装了 Plex 更新。攻击者甚至很可能在工程师的计算机上发现了旧版本的 Plex 后,决定将攻击重点放在工程师身上。
几个月来,海盗们进行了侦察行动,以完善他们的计划。在部署间谍病毒时,攻击者已获得 Plex 服务器的管理员访问权限他们的受害者。在侦察阶段,攻击者显然调查了 LastPass 系统的所有入口点。连接到充满敏感数据的云空间并配备旧的、有缺陷的软件版本的个人计算机很快成为最明显的进入范围。
鉴于这种忽视的后果,Plex 宣布了鼓励用户安装更新的措施。这家加州公司将展示“通过管理 UI 发出有关可用更新的通知”。如果互联网用户继续忘记这些,Plex 赋予自己以下权利:“自动更新”在某些情况下。
不管怎样,开发者的鲁莽行为让 LastPass 付出了惨重的代价。的确,密码管理器的声誉已经被盗版深深玷污了……
来源 : PCMag
