آسیب‌پذیری‌ها در LastPass به مهاجمان اجازه‌ی دور زدن احراز هویت دوعاملی را می‌دهد

در پیاده‌سازی احراز هویت دوعاملی در افزونه‌ی LastPass یک آسیب‌پذیریِ زمان طراحی وجود دارد. این آسیب‌پذیری می‌تواند برای دور زدن راه‌کارهای دفاعی توسط نفوذگران مورد بهره‌برداری قرار گرفته و کنترل حساب‌ها را در اختیار آن‌ها قرار دهد.

محقق امنیتی با نام مارتین ویگو که در سال ۲۰۱۵ میلادی چندین آسیب‌پذیری بر روی برنامه‌ی مدیریت گذرواژه‌ی LastPass کشف کرده بود، این بار نیز سازوکار احراز هویت دوعاملی را در این برنامه مورد تجزیه و تحلیل قرار داد و یک آسیب‌پذیری در آن کشف کرد.

کدهای موقتی احراز هویت با استفاده از متغیرهای زیادی تولید شده است. یکی از این متغیرها، کد مربوطه را به کد QR تبدیل می‌کند که با استفاده از برنامه‌های پویشگر QR مانند Authenticator گوگل می‌توان آن‌ها را خواند. آزمایش‌های ویگو نشان داد زمانی که یک کد QR به کاربر نمایش داده می‌شود، درخواستی نمایش داده می‌شود که در آن گواهی‌نامه‌های درهم‌سازی شده‌ای که LastPass برای احراز هویت مورد استفاده قرار می‌دهد، وجود دارد.

در حقیقت می‌توان مقدار اولیه‌ی محرمانه که در احراز هویت دوعاملی استفاده می‌شود را از گذرواژه بدست آورد و به‌عبارتی فرآیند احراز هویت دوعاملی با شکست مواجه می‌شود چرا که مهاجم گذرواژه و مقدار اولیه را در اختیار دارد. باتوجه به اینکه تشخیص آدرس URL مربوط به کد QR کار سختی نیست، تنها کافی است که مهاجم برای انجام حمله، احراز هویت شده باشد. با این‌حال، بهره‌برداری از یک آسیب‌پذیری CSRF می‌تواند این مشکل را حل کند. اگر مهاجم بتواند کاربری که وارد حساب خود شده را متقاعد کند که بر روی یک پیوند جعلی کلیک کرده و از آسیب‌پذیری CSRF بهره‌برداری کند، می‌تواند تصویر مربوط به کد QR را بدست آورد.

به گفته‌ی ویگو، مهاجم می‌تواند بر روی وب‌گاه‌های مهم از آسیب‌پذیری XSS استفاده کرده و از نمایش وب‌گاه مخرب خود به قربانی جلوگیری کند. قربانی با مشاهده‌ی وب‌گاه مخرب امکان دارد که به فعالیت‌های مهاجم مشکوک شود. این محقق امنیتی همچنین روشی ساده برای غیرفعال کردن احراز هویت دوعاملی با بهره‌برداری از آسیب‌پذیری CSRF را ارائه کرد. در تمامی حملات CSRF مهاجم نیاز دارد تا قربانی را به بازدید از یک وب‌گاه مخرب ترغیب کند.

توسعه‌دهندگان LastPass در تاریخ ۷ فوریه از این آسیب‌پذیری‌ها مطلع شدند و سریعاً فرآیند وصله‌ی آن‌ها را شروع کردند. این شرکت با اضافه کردن یک سازوکار امنیتی برای بررسی مبدأ درخواست QR، آسیب‌پذیری CSRF را وصله کرد. همچنین استفاده از مقدار درهم‌سازی گذرواژه به‌عنوان مقدار اولیه نیز کنار گذاشته شد.

روز پنج‌شنبه در یک پست وبلاگی، LastPass به کاربران خود اعلام کرد که برای وصله‌ی این آسیب‌پذیری‌ها لازم نیست کاری بکنند چرا که تمامی وصله‌ها در سمت کارگزار اعمال شده است. این شرکت همچنین اشاره کرد بهره‌برداری موفق از این آسیب‌پذیری‌ها به ترکیبی از عوامل نیاز داشت و این موضوع فرآیند حمله را بسیار مشکل می‌کرد. ویگو این آسیب‌پذیری‌ها را مدتی پس از اینکه محقق امنیتی گوگل، تاویوس اورماندی اعلام کرد که چند آسیب‌پذیری در LastPass وجود دارد، افشاء کرد.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.