В менеджере паролей LastPass исправлена серьезная уязвимость, позволяющая обойти механизм двухфакторной аутентификации. По словам обнаружившего уязвимость исследователя Мартина Виго (Martin Vigo), проэксплуатировать ее можно, только предварительно взломав мастер-пароль пользователя.
Не стоит недооценивать проблему. Двухфакторная аутентификация представляет собой второй уровень защиты на случай, если злоумышленникам каким-либо образом удалось завладеть мастер-паролем пользователя. Обнаруженная Виго уязвимость сводит эффективность двухфакторной аутентификации в LastPass к нулю, делая ее совершенно бесполезной.
Проблема заключалась в том, что закрытые криптографические ключи LastPass в виде QR-кода хранились по URL-адресу, созданному на основе пароля. Атакующему, которому известен данный пароль, достаточно лишь вычислить хранящийся локально QR-код, получить второй код двухфакторной аутентификации и открыть чужой менеджер паролей.
Виго описал атаку следующим образом. Атакующий с помощью социальной инженерии заманивает пользователя на сайт с XSS-уязвимостью. Затем он получает QR-код по локальному URL-адресу, созданному на основе известного ему пароля, и с помощью XSS-атаки загружает и сохраняет его изображение. Далее злоумышленник сканирует QR-код с помощью приложения Google Authenticator, используемого LastPass для двухфакторной аутентификации, получает второй код и может открыть менеджер паролей.
Виго сообщил производителю о проблеме в феврале текущего года, и в тот же день было выпущено временное исправление. 20 апреля уязвимость была исправлена полностью.

Источник: securitylab.ru