พบช่องโหว่ Zero-day บน LastPass เสี่ยงถูกขโมยรหัสผ่าน

lastpass_logo

Tavis Ormandy แฮ็คเกอร์จาก Google Project Zero ออกมาเปิดเผยถึงช่องโหว่ Zero-day ระดับความรุนแรงสูงบน LassPass บริการ Password Manager ชื่อดังบนระบบ Cloud ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าขโมยรายการรหัสผ่านของผู้ใช้ที่เก็บอยู่ในคลังได้

LassPass เป็นบริการ Password Manager ทำหน้าที่สร้างและจัดเก็บรหัสผ่านสำหรับใช้งานในแต่ละเว็บไซต์หรือแอพพลิเคชัน โดยผู้ใช้เพียงแค่จำรหัสผ่านหลัก (Master Password) สำหรับปลดล็อกเข้าไปใช้รหัสผ่านที่เหลือทั้งหมด LassPass ยังมาพร้อมกับ Browser Extension สำหรับกรอกชื่อผู้ใช้และรหัสผ่านลงบนเว็บไซต์ให้โดยอัตโนมัติอีกด้วย

ttt_hacker_looking_credential-Strejman
Credit: Strejman/ShutterStock

ยังไม่มีข้อมูลเชิงเทคนิค รอ LastPass อุดช่องโหว่ก่อน

หลังจากที่โจมตีชื่อบัญชีของเหยื่อได้สำเร็จ แฮ็คเกอร์สามารถเข้าถึงคลังรหัสผ่านทั้งหมดของเหยื่อได้ทันที อย่างไรก็ตาม Ormandy ยังไม่เปิดเผยรายละเอียดทางเทคนิค เนื่องจากต้องการให้ LastPass ออกแพทช์เพื่อแก้ปัญหาให้เรียบร้อยเสียก่อน

พบอีกช่องโหว่คล้ายกัน และเคยถูกแพทช์ไปแล้ว

ในขณะเดียวกัน Mathias Karlsson นักวิจัยด้านความมั่นคงปลอดภัยก็ได้ออกมาเปิดเผยถึงช่องโหว่ที่คล้ายคลึงกัน และเคยถูกแพทช์ไปแล้วก่อนหน้านี้ โดย Karlsson อธิบายใน Blog ของเขาว่า ช่องโหว่ที่เขาค้นพบช่วยให้แฮ็คเกอร์สามารถสร้าง URL แบบพิเศษขึ้นมา แล้วส่งไปยังบัญชีของเหยื่อเพื่อขโมยรหัสผ่านทั้งหมดที่อยู่ในคลังได้

ช่องโหว่นี้เกิดขึ้นบนฟังก์ชัน Autofill ของ LastPass Browser Extension ซึ่งเป็นความผิดปกติของ Regular Expression สำหรับแปลง URL ซึ่งช่วยให้แฮ็คเกอร์สามารถปลอมชื่อโดเมนได้ ยกตัวอย่างเช่น เมื่อเข้าถึง URL: http://avlidienbrunn.se/@twitter.com/@hehe.php เบราเซอร์จะเห็นโดเมนเป็น avlidienbrunn.se ในขณะที่ Extension จะเห็นโดเมนเป็น twitter.com แทน ส่งผลให้แฮ็คเกอร์สามารถขโมยรหัสผ่านของ twitter.com ได้ทันที

ช่องโหว่ที่ Karlsson ค้นพบได้รับการแก้ไขอย่างรวดเร็ว และทาง LastPass ได้มอบเงินรางวัล $1,000 หรือประมาณ 35,000 บาทสำหรับการแจ้งข่าวช่องโหว่ให้ทราบ

อัพเดทล่าสุด

LastPass ได้รับทราบถึงช่องโหว่ Zero-day ของ Ormandy และทำการออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย โดยทาง LastPass ระบุว่า จากการตรวจสอบพบว่าช่องโหว่ Zero-day นี้ ส่งผลกระทบกับผู้ใช้ FireFox ที่รัน LastPass 4.0 เป็นต้นไปเท่านั้น แนะนำให้ผู้ใช้อัพเดท LastPass เป็นเวอร์ชัน 4.1.21a เพื่อแก้ไขปัญหาดังกล่าวแทน

ที่มา: http://thehackernews.com/2016/07/lastpass-password-manager.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CoreWeave พร้อมขยายธุรกิจด้วยวงเงินสินเชื่อ 650 ล้านดอลลาร์

CoreWeave ผู้ให้บริการคลาวด์สำหรับการประมวลผล AI ได้รับวงเงินสินเชื่อ 650 ล้านดอลลาร์สหรัฐฯ จากบริษัทการลงทุนชั้นนำเพื่อขยายธุรกิจทั่วโลกและเพิ่มขีดความสามารถในโครงสร้างพื้นฐานสำหรับ AI

รู้จักกับโซลูชัน AlgoSec ผู้เชี่ยวชาญด้าน Network Security Policy Management โดย GrowPro และ Perion Solution

หากคุณกำลังเผชิญกับความยุ่งยากจาก Firewall Policy นับพันรายการ หรือนโยบายการใช้โซลูชันป้องกันหลายแบรนด์ ซึ่งทำให้เวลาส่วนใหญ่จมกับกับการบริหารจัดการ แถมเกิดความผิดพลาดได้บ่อยครั้ง โซลูชัน Network Security Policy Management อาจเป็นคำตอบสำหรับคุณ