El investigador de seguridad Sean Cassidy, CTO de Praesidio, ha publicado detalles de un ataque phishing a LastPass que permitiría el robo de credenciales almacenadas en la cuenta del usuario víctima además del código de autenticación de dos factores, que podrían facilitar el acceso a contraseñas y documentos almacenados en el servicio de gestión de contraseñas en línea.
Cassidy expuso su investigación en la convención de hackers ShmooCon 2016, dejando disponible en Github el código utilizado en el ataque al que ha llamado LostPass.
El ataque se basa en la técnica phishing, mediante el cual el usuario de LastPass es engañado al visualizar en el navegador mensajes falsos simulando a los de LastPass. Son mensajes exactamente iguales que engañan al usuario avisándole que la sesión ha terminado y debe iniciar nueva sesión.
El ataque inicia con la visita del usuario víctima a un sitio web malicioso que parezca legítimo o uno real que sea vulnerable a XSS. La página web visitada ejecuta código Javascript que determinará si se tiene instalado LastPass para entonces mostrar a la víctima el aviso de que la sesión ha terminado y requerir el inicio de sesión. El aviso es igual que el de LastPass e instruye al usuario víctima para que introduzca sus credenciales, incluida la contraseña maestra y de ser necesario también el código de autenticación de doble factor.
El ataque aprovecha una vulnerabilidad CSRF de cierre de sesión, mediante la cual cualquier página web puede cerrar la sesión del usuario de LastPass dando la apariencia de que fue desconectado.
Ya con las credenciales del usuario el atacante puede prácticamente hacer de todo, incluyendo la descarga de toda la información del usuario víctima, instalar una puerta trasera a través de la característica Contacto de emergencia, desactivar la autenticación de doble factor y agregar el servidor del atacante como un “dispositivo confiable”.
Cassidy reportó el problema a LastPass, quien afirmó que no se trata de una vulnerabilidad en LastPass y ha reforzado las medidas de seguridad contra ataques tipo phishing.