На хакерской конференции DefCamp 2014 в Бухаресте (Румыния) состоялся доклад специалиста по безопасности Алекса Балана (Alex Balan). Он показал комбинацию технологий, позволяющую узнать мастер-пароль LastPass на компьютере жертвы.
Хакер использовал программы Ettercap, Burp, Backdoor Factory (BDF) и Metasploit для подготовки вредоносного файла, который был отправлен на компьютер пользователя для получения чувствительной информации.
Правда, такой фокус удастся осуществить не с каждым компьютером. В данном случае хакер использовал тот факт, что на машине была установлена программа Samsung Kies, призванная выполнять синхронизацию со смартфоном. Эта утилита постоянно отправляет запросы на обновление через интернет, при этом пакеты посылаются в открытом виде, никак не шифруясь.
С помощью Burp Алекс Балан смог подделать ответы сервера для программы Samsung Kies. Таким образом, он осуществил атаку типа MiTM.
Используя Backdoor Factory и Metasploit, он подготовил вредоносный файл, который доставлялся на компьютер под видом обновления. Для этого он взял реальный бинарник от файла обновления, внедрив свой код в пустующие его фрагменты.
После запуска программы она получает доступ к информации на компьютере и в оперативной памяти, в том числе к данным, которые записываются в память практически открытым текстом, как мастер-пароль LastPass. На самом деле, пароль шифруется перед записью в память, но при этом используется слабый шифр AES 256.
Для извлечения пароля LastPass из памяти создан специальный модуль Metasploit. Он работает только в том случае, если в программе LastPass активирована опция «Хранить пароль» (“Store my password”).
msf > use post/multi/gather/lastpass_creds
msf post(lastpass_creds) > sessions
...sessions...
msf post(lastpass_creds) > set SESSION
msf post(lastpass_creds) > show options
...show and set options...
msf post(lastpass_creds) > run Возможно, в ближайшее время разработчики LastPass устранят уязвимость.
