کمیته رکن چهارم – در پیادهسازی احراز هویت دوعاملی در افزونهی LastPass یک آسیبپذیریِ زمان طراحی وجود دارد. این آسیبپذیری میتواند برای دور زدن راهکارهای دفاعی توسط نفوذگران مورد بهرهبرداری قرار گرفته و کنترل حسابها را در اختیار آنها قرار دهد.
به گزارش کمیته رکن چهارم،محقق امنیتی با نام مارتین ویگو که در سال ۲۰۱۵ میلادی چندین آسیبپذیری بر روی برنامهی مدیریت گذرواژهی LastPass کشف کرده بود، این بار نیز سازوکار احراز هویت دوعاملی را در این برنامه مورد تجزیه و تحلیل قرار داد و یک آسیبپذیری در آن کشف کرد.
کدهای موقتی احراز هویت با استفاده از متغیرهای زیادی تولید شده است. یکی از این متغیرها، کد مربوطه را به کد QR تبدیل میکند که با استفاده از برنامههای پویشگر QR مانند Authenticator گوگل میتوان آنها را خواند. آزمایشهای ویگو نشان داد زمانی که یک کد QR به کاربر نمایش داده میشود، درخواستی نمایش داده میشود که در آن گواهینامههای درهمسازی شدهای که LastPass برای احراز هویت مورد استفاده قرار میدهد، وجود دارد.
در حقیقت میتوان مقدار اولیهی محرمانه که در احراز هویت دوعاملی استفاده میشود را از گذرواژه بدست آورد و بهعبارتی فرآیند احراز هویت دوعاملی با شکست مواجه میشود چرا که مهاجم گذرواژه و مقدار اولیه را در اختیار دارد. باتوجه به اینکه تشخیص آدرس URL مربوط به کد QR کار سختی نیست، تنها کافی است که مهاجم برای انجام حمله، احراز هویت شده باشد. با اینحال، بهرهبرداری از یک آسیبپذیری CSRF میتواند این مشکل را حل کند. اگر مهاجم بتواند کاربری که وارد حساب خود شده را متقاعد کند که بر روی یک پیوند جعلی کلیک کرده و از آسیبپذیری CSRF بهرهبرداری کند، میتواند تصویر مربوط به کد QR را بدست آورد.
به گفتهی ویگو، مهاجم میتواند بر روی وبگاههای مهم از آسیبپذیری XSS استفاده کرده و از نمایش وبگاه مخرب خود به قربانی جلوگیری کند. قربانی با مشاهدهی وبگاه مخرب امکان دارد که به فعالیتهای مهاجم مشکوک شود. این محقق امنیتی همچنین روشی ساده برای غیرفعال کردن احراز هویت دوعاملی با بهرهبرداری از آسیبپذیری CSRF را ارائه کرد. در تمامی حملات CSRF مهاجم نیاز دارد تا قربانی را به بازدید از یک وبگاه مخرب ترغیب کند.
توسعهدهندگان LastPass در تاریخ ۷ فوریه از این آسیبپذیریها مطلع شدند و سریعاً فرآیند وصلهی آنها را شروع کردند. این شرکت با اضافه کردن یک سازوکار امنیتی برای بررسی مبدأ درخواست QR، آسیبپذیری CSRF را وصله کرد. همچنین استفاده از مقدار درهمسازی گذرواژه بهعنوان مقدار اولیه نیز کنار گذاشته شد.
روز پنجشنبه در یک پست وبلاگی، LastPass به کاربران خود اعلام کرد که برای وصلهی این آسیبپذیریها لازم نیست کاری بکنند چرا که تمامی وصلهها در سمت کارگزار اعمال شده است. این شرکت همچنین اشاره کرد بهرهبرداری موفق از این آسیبپذیریها به ترکیبی از عوامل نیاز داشت و این موضوع فرآیند حمله را بسیار مشکل میکرد. ویگو این آسیبپذیریها را مدتی پس از اینکه محقق امنیتی گوگل، تاویوس اورماندی اعلام کرد که چند آسیبپذیری در LastPass وجود دارد، افشاء کرد.
منبع:security week
