Tavis Ormandy แฮ็คเกอร์จาก Google Project Zero ออกมาเปิดเผยถึงช่องโหว่ Zero-day ระดับความรุนแรงสูงบน LassPass บริการ Password Manager ชื่อดังบนระบบ Cloud ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าขโมยรายการรหัสผ่านของผู้ใช้ที่เก็บอยู่ในคลังได้
LassPass เป็นบริการ Password Manager ทำหน้าที่สร้างและจัดเก็บรหัสผ่านสำหรับใช้งานในแต่ละเว็บไซต์หรือแอพพลิเคชัน โดยผู้ใช้เพียงแค่จำรหัสผ่านหลัก (Master Password) สำหรับปลดล็อกเข้าไปใช้รหัสผ่านที่เหลือทั้งหมด LassPass ยังมาพร้อมกับ Browser Extension สำหรับกรอกชื่อผู้ใช้และรหัสผ่านลงบนเว็บไซต์ให้โดยอัตโนมัติอีกด้วย
ยังไม่มีข้อมูลเชิงเทคนิค รอ LastPass อุดช่องโหว่ก่อน
หลังจากที่โจมตีชื่อบัญชีของเหยื่อได้สำเร็จ แฮ็คเกอร์สามารถเข้าถึงคลังรหัสผ่านทั้งหมดของเหยื่อได้ทันที อย่างไรก็ตาม Ormandy ยังไม่เปิดเผยรายละเอียดทางเทคนิค เนื่องจากต้องการให้ LastPass ออกแพทช์เพื่อแก้ปัญหาให้เรียบร้อยเสียก่อน
พบอีกช่องโหว่คล้ายกัน และเคยถูกแพทช์ไปแล้ว
ในขณะเดียวกัน Mathias Karlsson นักวิจัยด้านความมั่นคงปลอดภัยก็ได้ออกมาเปิดเผยถึงช่องโหว่ที่คล้ายคลึงกัน และเคยถูกแพทช์ไปแล้วก่อนหน้านี้ โดย Karlsson อธิบายใน Blog ของเขาว่า ช่องโหว่ที่เขาค้นพบช่วยให้แฮ็คเกอร์สามารถสร้าง URL แบบพิเศษขึ้นมา แล้วส่งไปยังบัญชีของเหยื่อเพื่อขโมยรหัสผ่านทั้งหมดที่อยู่ในคลังได้
ช่องโหว่นี้เกิดขึ้นบนฟังก์ชัน Autofill ของ LastPass Browser Extension ซึ่งเป็นความผิดปกติของ Regular Expression สำหรับแปลง URL ซึ่งช่วยให้แฮ็คเกอร์สามารถปลอมชื่อโดเมนได้ ยกตัวอย่างเช่น เมื่อเข้าถึง URL: http://avlidienbrunn.se/@twitter.com/@hehe.php เบราเซอร์จะเห็นโดเมนเป็น avlidienbrunn.se ในขณะที่ Extension จะเห็นโดเมนเป็น twitter.com แทน ส่งผลให้แฮ็คเกอร์สามารถขโมยรหัสผ่านของ twitter.com ได้ทันที
ช่องโหว่ที่ Karlsson ค้นพบได้รับการแก้ไขอย่างรวดเร็ว และทาง LastPass ได้มอบเงินรางวัล $1,000 หรือประมาณ 35,000 บาทสำหรับการแจ้งข่าวช่องโหว่ให้ทราบ
อัพเดทล่าสุด
LastPass ได้รับทราบถึงช่องโหว่ Zero-day ของ Ormandy และทำการออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย โดยทาง LastPass ระบุว่า จากการตรวจสอบพบว่าช่องโหว่ Zero-day นี้ ส่งผลกระทบกับผู้ใช้ FireFox ที่รัน LastPass 4.0 เป็นต้นไปเท่านั้น แนะนำให้ผู้ใช้อัพเดท LastPass เป็นเวอร์ชัน 4.1.21a เพื่อแก้ไขปัญหาดังกล่าวแทน
ที่มา: http://thehackernews.com/2016/07/lastpass-password-manager.html