На хакерской конференции DefCamp 2014 в Бухаресте (Румыния) состоялся доклад специалиста по безопасности Алекса Балана (Alex Balan). Он показал комбинацию технологий, позволяющую узнать мастер-пароль LastPass на компьютере жертвы.

Хакер использовал программы Ettercap, Burp, Backdoor Factory (BDF) и Metasploit для подготовки вредоносного файла, который был отправлен на компьютер пользователя для получения чувствительной информации.

Правда, такой фокус удастся осуществить не с каждым компьютером. В данном случае хакер использовал тот факт, что на машине была установлена программа Samsung Kies, призванная выполнять синхронизацию со смартфоном. Эта утилита постоянно отправляет запросы на обновление через интернет, при этом пакеты посылаются в открытом виде, никак не шифруясь.

С помощью Burp Алекс Балан смог подделать ответы сервера для программы Samsung Kies. Таким образом, он осуществил атаку типа MiTM.

Используя Backdoor Factory и Metasploit, он подготовил вредоносный файл, который доставлялся на компьютер под видом обновления. Для этого он взял реальный бинарник от файла обновления, внедрив свой код в пустующие его фрагменты.

После запуска программы она получает доступ к информации на компьютере и в оперативной памяти, в том числе к данным, которые записываются в память практически открытым текстом, как мастер-пароль LastPass. На самом деле, пароль шифруется перед записью в память, но при этом используется слабый шифр AES 256.

Для извлечения пароля LastPass из памяти создан специальный модуль Metasploit. Он работает только в том случае, если в программе LastPass активирована опция «Хранить пароль» (“Store my password”).

      msf > use post/multi/gather/lastpass_creds
      msf post(lastpass_creds) > sessions
            ...sessions...
      msf post(lastpass_creds) > set SESSION 
      msf post(lastpass_creds) > show options
            ...show and set options...
      msf post(lastpass_creds) > run

Возможно, в ближайшее время разработчики LastPass устранят уязвимость.



10 комментариев

  1. 04.12.2014 at 16:24

    «слабый шифр AES 256» — видите, америкашки, какого мы мнения о ваших шифрах! :))))

  2. 04.12.2014 at 18:40

    Alex Balan помойму норвежец — это его мнение о шифрах , а не ваше

  3. 04.12.2014 at 19:48

    >слабый шифр AES 256

    Я, кажется, что-то пропустил?

  4. 04.12.2014 at 21:02

    Сменю-ка я мастер-пароль. А то поплохело от заголовка.

  5. 05.12.2014 at 02:15

    Один вопрос: что такое lastpass?

  6. 06.12.2014 at 10:39

    Программа предупреждает что опция «хранить пароль» которая упомянута в статье крайне нежелательна и может существенно снизить безопасность. Так что всё в рамках.

  7. 06.12.2014 at 17:35

    короткий но познавательный код, правд баян!

  8. http://Wap-robin.com

    10.12.2014 at 15:58

    А у меня не хватило терпения поставить kies(((

Оставить мнение