На хакерской конференции DefCamp 2014 в Бухаресте (Румыния) состоялся доклад специалиста по безопасности Алекса Балана (Alex Balan). Он показал комбинацию технологий, позволяющую узнать мастер-пароль LastPass на компьютере жертвы.

Хакер использовал программы Ettercap, Burp, Backdoor Factory (BDF) и Metasploit для подготовки вредоносного файла, который был отправлен на компьютер пользователя для получения чувствительной информации.

Правда, такой фокус удастся осуществить не с каждым компьютером. В данном случае хакер использовал тот факт, что на машине была установлена программа Samsung Kies, призванная выполнять синхронизацию со смартфоном. Эта утилита постоянно отправляет запросы на обновление через интернет, при этом пакеты посылаются в открытом виде, никак не шифруясь.

С помощью Burp Алекс Балан смог подделать ответы сервера для программы Samsung Kies. Таким образом, он осуществил атаку типа MiTM.

Используя Backdoor Factory и Metasploit, он подготовил вредоносный файл, который доставлялся на компьютер под видом обновления. Для этого он взял реальный бинарник от файла обновления, внедрив свой код в пустующие его фрагменты.

После запуска программы она получает доступ к информации на компьютере и в оперативной памяти, в том числе к данным, которые записываются в память практически открытым текстом, как мастер-пароль LastPass. На самом деле, пароль шифруется перед записью в память, но при этом используется слабый шифр AES 256.

Для извлечения пароля LastPass из памяти создан специальный модуль Metasploit. Он работает только в том случае, если в программе LastPass активирована опция «Хранить пароль» (“Store my password”).

      msf > use post/multi/gather/lastpass_creds
      msf post(lastpass_creds) > sessions
            ...sessions...
      msf post(lastpass_creds) > set SESSION 
      msf post(lastpass_creds) > show options
            ...show and set options...
      msf post(lastpass_creds) > run

Возможно, в ближайшее время разработчики LastPass устранят уязвимость.

10 комментариев

  1. Аватар

    04.12.2014 в 16:24

    «слабый шифр AES 256» — видите, америкашки, какого мы мнения о ваших шифрах! :))))

  2. Аватар

    04.12.2014 в 18:40

    Alex Balan помойму норвежец — это его мнение о шифрах , а не ваше

  3. Аватар

    04.12.2014 в 19:48

    >слабый шифр AES 256

    Я, кажется, что-то пропустил?

  4. Аватар

    04.12.2014 в 21:02

    Сменю-ка я мастер-пароль. А то поплохело от заголовка.

  5. Аватар

    05.12.2014 в 02:15

    Один вопрос: что такое lastpass?

  6. Аватар

    06.12.2014 в 10:39

    Программа предупреждает что опция «хранить пароль» которая упомянута в статье крайне нежелательна и может существенно снизить безопасность. Так что всё в рамках.

  7. Аватар

    06.12.2014 в 17:35

    короткий но познавательный код, правд баян!

  8. Аватар

    http://Wap-robin.com

    10.12.2014 в 15:58

    А у меня не хватило терпения поставить kies(((

Оставить мнение