Breaking News

พบช่องโหว่ Zero-day บน LastPass เสี่ยงถูกขโมยรหัสผ่าน

lastpass_logo

Tavis Ormandy แฮ็คเกอร์จาก Google Project Zero ออกมาเปิดเผยถึงช่องโหว่ Zero-day ระดับความรุนแรงสูงบน LassPass บริการ Password Manager ชื่อดังบนระบบ Cloud ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าขโมยรายการรหัสผ่านของผู้ใช้ที่เก็บอยู่ในคลังได้

LassPass เป็นบริการ Password Manager ทำหน้าที่สร้างและจัดเก็บรหัสผ่านสำหรับใช้งานในแต่ละเว็บไซต์หรือแอพพลิเคชัน โดยผู้ใช้เพียงแค่จำรหัสผ่านหลัก (Master Password) สำหรับปลดล็อกเข้าไปใช้รหัสผ่านที่เหลือทั้งหมด LassPass ยังมาพร้อมกับ Browser Extension สำหรับกรอกชื่อผู้ใช้และรหัสผ่านลงบนเว็บไซต์ให้โดยอัตโนมัติอีกด้วย

ttt_hacker_looking_credential-Strejman
Credit: Strejman/ShutterStock

ยังไม่มีข้อมูลเชิงเทคนิค รอ LastPass อุดช่องโหว่ก่อน

หลังจากที่โจมตีชื่อบัญชีของเหยื่อได้สำเร็จ แฮ็คเกอร์สามารถเข้าถึงคลังรหัสผ่านทั้งหมดของเหยื่อได้ทันที อย่างไรก็ตาม Ormandy ยังไม่เปิดเผยรายละเอียดทางเทคนิค เนื่องจากต้องการให้ LastPass ออกแพทช์เพื่อแก้ปัญหาให้เรียบร้อยเสียก่อน

พบอีกช่องโหว่คล้ายกัน และเคยถูกแพทช์ไปแล้ว

ในขณะเดียวกัน Mathias Karlsson นักวิจัยด้านความมั่นคงปลอดภัยก็ได้ออกมาเปิดเผยถึงช่องโหว่ที่คล้ายคลึงกัน และเคยถูกแพทช์ไปแล้วก่อนหน้านี้ โดย Karlsson อธิบายใน Blog ของเขาว่า ช่องโหว่ที่เขาค้นพบช่วยให้แฮ็คเกอร์สามารถสร้าง URL แบบพิเศษขึ้นมา แล้วส่งไปยังบัญชีของเหยื่อเพื่อขโมยรหัสผ่านทั้งหมดที่อยู่ในคลังได้

ช่องโหว่นี้เกิดขึ้นบนฟังก์ชัน Autofill ของ LastPass Browser Extension ซึ่งเป็นความผิดปกติของ Regular Expression สำหรับแปลง URL ซึ่งช่วยให้แฮ็คเกอร์สามารถปลอมชื่อโดเมนได้ ยกตัวอย่างเช่น เมื่อเข้าถึง URL: http://avlidienbrunn.se/@twitter.com/@hehe.php เบราเซอร์จะเห็นโดเมนเป็น avlidienbrunn.se ในขณะที่ Extension จะเห็นโดเมนเป็น twitter.com แทน ส่งผลให้แฮ็คเกอร์สามารถขโมยรหัสผ่านของ twitter.com ได้ทันที

ช่องโหว่ที่ Karlsson ค้นพบได้รับการแก้ไขอย่างรวดเร็ว และทาง LastPass ได้มอบเงินรางวัล $1,000 หรือประมาณ 35,000 บาทสำหรับการแจ้งข่าวช่องโหว่ให้ทราบ

อัพเดทล่าสุด

LastPass ได้รับทราบถึงช่องโหว่ Zero-day ของ Ormandy และทำการออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย โดยทาง LastPass ระบุว่า จากการตรวจสอบพบว่าช่องโหว่ Zero-day นี้ ส่งผลกระทบกับผู้ใช้ FireFox ที่รัน LastPass 4.0 เป็นต้นไปเท่านั้น แนะนำให้ผู้ใช้อัพเดท LastPass เป็นเวอร์ชัน 4.1.21a เพื่อแก้ไขปัญหาดังกล่าวแทน

ที่มา: http://thehackernews.com/2016/07/lastpass-password-manager.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: Digital Workforce: The game changer now and COVID afterward โดย STelligence

TechTalkThai ขอเรียนเชิญ CIO, CTO, COO, IT Manager, ผู้จัดการในส่วนต่างๆ ของธุรกิจ, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "Digital Workforce: The game changer now and COVID afterward โดย STelligence" เพื่อร่วมรับฟังถึงทิศทางในอนาคตของโลกธุรกิจจากการมาของ Digital Workforce ที่จะเปลี่ยนวิธีการทำงานไปอย่างสิ้นเชิง พร้อมแนะนำเทคโนโลยีที่เกี่ยวข้อง ในวันศุกร์ที่ 17 เมษายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

[Guest Post] QAD ปรับการใช้งานใน QAD Adaptive ERP และโซลูชั่นที่เกี่ยวข้องให้เป็น Adaptive Manufacturing Enterprises เพื่อตอบสนอง Industry Disruption

ผู้ผลิตทั่วโลกต้องเผชิญกับการหยุดชะงักที่เพิ่มขึ้นซึ่งเกิดจากปัจจัยต่าง  และสถานการณ์ที่ไม่อาจควบคุมได้ในปัจจุบัน รวมถึงนวัตกรรมที่ใช้เทคโนโลยีเป็นตัวขับเคลื่อน การเปลี่ยนแปลงความต้องการของผู้บริโภค ส่งผลให้หลายๆ ธุรกิจต้องหยุดชะงัก และเพื่อความอยู่รอด ผู้ผลิตจะต้องสามารถคิดค้นและเปลี่ยนรูปแบบธุรกิจด้วยความรวดเร็วอย่างที่ไม่เคยทำมาก่อน QAD เรียก บริษัท ผู้ผลิตเหล่านี้ว่า “Adaptive Manufacturing Enterprises”