Breaking News
AMR | Sophos Webinar

พบช่องโหว่ Zero-day บน LastPass เสี่ยงถูกขโมยรหัสผ่าน

lastpass_logo

Tavis Ormandy แฮ็คเกอร์จาก Google Project Zero ออกมาเปิดเผยถึงช่องโหว่ Zero-day ระดับความรุนแรงสูงบน LassPass บริการ Password Manager ชื่อดังบนระบบ Cloud ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าขโมยรายการรหัสผ่านของผู้ใช้ที่เก็บอยู่ในคลังได้

LassPass เป็นบริการ Password Manager ทำหน้าที่สร้างและจัดเก็บรหัสผ่านสำหรับใช้งานในแต่ละเว็บไซต์หรือแอพพลิเคชัน โดยผู้ใช้เพียงแค่จำรหัสผ่านหลัก (Master Password) สำหรับปลดล็อกเข้าไปใช้รหัสผ่านที่เหลือทั้งหมด LassPass ยังมาพร้อมกับ Browser Extension สำหรับกรอกชื่อผู้ใช้และรหัสผ่านลงบนเว็บไซต์ให้โดยอัตโนมัติอีกด้วย

ttt_hacker_looking_credential-Strejman
Credit: Strejman/ShutterStock

ยังไม่มีข้อมูลเชิงเทคนิค รอ LastPass อุดช่องโหว่ก่อน

หลังจากที่โจมตีชื่อบัญชีของเหยื่อได้สำเร็จ แฮ็คเกอร์สามารถเข้าถึงคลังรหัสผ่านทั้งหมดของเหยื่อได้ทันที อย่างไรก็ตาม Ormandy ยังไม่เปิดเผยรายละเอียดทางเทคนิค เนื่องจากต้องการให้ LastPass ออกแพทช์เพื่อแก้ปัญหาให้เรียบร้อยเสียก่อน

พบอีกช่องโหว่คล้ายกัน และเคยถูกแพทช์ไปแล้ว

ในขณะเดียวกัน Mathias Karlsson นักวิจัยด้านความมั่นคงปลอดภัยก็ได้ออกมาเปิดเผยถึงช่องโหว่ที่คล้ายคลึงกัน และเคยถูกแพทช์ไปแล้วก่อนหน้านี้ โดย Karlsson อธิบายใน Blog ของเขาว่า ช่องโหว่ที่เขาค้นพบช่วยให้แฮ็คเกอร์สามารถสร้าง URL แบบพิเศษขึ้นมา แล้วส่งไปยังบัญชีของเหยื่อเพื่อขโมยรหัสผ่านทั้งหมดที่อยู่ในคลังได้

ช่องโหว่นี้เกิดขึ้นบนฟังก์ชัน Autofill ของ LastPass Browser Extension ซึ่งเป็นความผิดปกติของ Regular Expression สำหรับแปลง URL ซึ่งช่วยให้แฮ็คเกอร์สามารถปลอมชื่อโดเมนได้ ยกตัวอย่างเช่น เมื่อเข้าถึง URL: http://avlidienbrunn.se/@twitter.com/@hehe.php เบราเซอร์จะเห็นโดเมนเป็น avlidienbrunn.se ในขณะที่ Extension จะเห็นโดเมนเป็น twitter.com แทน ส่งผลให้แฮ็คเกอร์สามารถขโมยรหัสผ่านของ twitter.com ได้ทันที

ช่องโหว่ที่ Karlsson ค้นพบได้รับการแก้ไขอย่างรวดเร็ว และทาง LastPass ได้มอบเงินรางวัล $1,000 หรือประมาณ 35,000 บาทสำหรับการแจ้งข่าวช่องโหว่ให้ทราบ

อัพเดทล่าสุด

LastPass ได้รับทราบถึงช่องโหว่ Zero-day ของ Ormandy และทำการออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย โดยทาง LastPass ระบุว่า จากการตรวจสอบพบว่าช่องโหว่ Zero-day นี้ ส่งผลกระทบกับผู้ใช้ FireFox ที่รัน LastPass 4.0 เป็นต้นไปเท่านั้น แนะนำให้ผู้ใช้อัพเดท LastPass เป็นเวอร์ชัน 4.1.21a เพื่อแก้ไขปัญหาดังกล่าวแทน

ที่มา: http://thehackernews.com/2016/07/lastpass-password-manager.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] Workforce Transformation สู่ยุค New Normal ด้วย Dell Technologies

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Geton | Dell Webinar เรื่อง “Workforce Transformation สู่ยุค New Normal” พร้อมแชร์กรณีศึกษาจากความสำเร็จในการพลิกโฉมการทำงานสู่วิถีใหม่ (New Normal) ของ …

[Video Webinar] Data Security – Protect Data Where it Lives โดย McAfee

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Exclusive Networks | McAfee Webinar เรื่อง “Data Security – Protect Data Where it Lives” …