91
設計上の欠陥により、攻撃者がLastPassの2要素認証を回避できた可能性

Triskel Securityの創設者であるMartin Vigo氏は、LastPassアプリケーションに脆弱性を発見しました。この脆弱性により、攻撃者はサービスの2要素認証を回避できる可能性があります。この脆弱性は、LastPassが以前に行った不適切な設計決定が原因であると思われます。

二要素認証の仕組み

2 要素認証 (2FA) は、悪意のあるハッカーによってパスワードがすでに盗まれた場合にアカウントを保護できる追加のセキュリティ層です。

インターネットサービスのユーザーの多くは、他のウェブサイトで同じパスワードを使い回す傾向があります。そのため、あるウェブサイトがハッキングされると、そのアカウントが侵害されるだけでなく、ユーザーの他のすべてのアカウントも危険にさらされ、脆弱になります。ただし、2FAを有効にしている場合は別です。さらに、2FAを回避できる脆弱性が存在し、攻撃者がそれを知っている場合、アカウントは再び危険にさらされます。

2要素認証コードは、秘密シードやタイムスタンプなど、複数の変数に基づいて生成されます。シードは生成されるたびに一意であり、タイム変数は通常30秒ごとに新しいシードを生成します。2要素認証コードを生成するには、企業のサーバーがユーザーのローカルアプリケーションと秘密シードを共有する必要があります。これは通常、シードをQRコードにエンコードすることで行われ、認証アプリでスキャンすることで取得できます。

LastPassの2FAが危険にさらされた理由

LastPassの2FAシステムの主な問題は、LastPassが保管庫を保護する暗号化キーをマスターパスワード(保存されているすべてのLastPassパスワードを保護するパスワード)から導出していたことです。2FAを使用する本来の目的は、既にパスワードを取得したハッカーから保護することであるため、これは悪いアイデアのように思えます。

ヴィゴ氏によると、これは家の中の金庫を使って物を安全に保管したいのに、ドアと同じ鍵を金庫にも使うようなものだという。それでは金庫を使う意味がなくなってしまう。なぜなら、鍵を持っている泥棒はドアと金庫の両方を開けることができるからだ。

LastPassの認証プロセス

LastPassの認証プロセス

LastPassが秘密シードを保存するURLを入手するだけでは、LastPassの2FAプロセスにおけるこの脆弱性を悪用するには不十分です。攻撃者は、ユーザーにQRコードを要求させる必要もあります。これは、被害者が訪問する人気のウェブサイトの1つをクロスサイトリクエストフォージェリ(CSRF)の脆弱性を利用して攻撃することで実現できます。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

すべてのウェブサイトがCSRFの脆弱性を持つわけではありませんが、これは一般的な脆弱性です。攻撃者は、メールやソーシャルメディアでリンクを送信することで被害者からQRコード要求を取得できる独自のウェブサイトを作成することもできます。

Vigo 氏は、LastPass の 2FA プロセスに他の欠陥があることにも気づき、それを利用して 2FA 保護を無効にすることもできると述べています。

シードを再生成しても、一時コードの入力を要求してセットアップを確認する必要はありません。シードを再生成すると、2FAが自動的に無効になります(新しいシードで2FAが有効のままになるのではなく)。シードの再生成要求はCSRFに対して脆弱です。

LastPassの修正

Vigo は 2 月に LastPass に脆弱性を開示したため、CSRF による 2FA の無効化など、一部の脆弱性は修正されましたが、同社は依然として CSRF に対して脆弱なすべてのリクエストを探しています。

最初に議論した脆弱性(実際にはLastPassアプリケーションの設計上の脆弱性)については、同社は初期修正をリリースしました。この修正により、QRコードのリクエストはLastPass.comからのみ可能になります。しかし、Vigo氏によると、これは中間的な修正としては優れているものの、リクエストがLastPass.comからのみ可能であることを保証するOriginヘッダーをサポートしていない古いブラウザでは機能しないとのこと。

LastPassは、マスターパスワードからシークレットシードを導出するのをやめ、代わりにユーザーID(UID)から導出するようになりました。同社は、その値のハッシュをサーバーのデータベースに保存することで、有効期限を強制し、潜在的な攻撃者が被害者のUIDを特定することを困難にします。

LastPassの最近のセキュリティ問題

ここ1年ほど、LastPassのパスワードマネージャーに複数の脆弱性が発見されています。これらの脆弱性が全て設計やコーディングの不備によるものなのか、それともLastPassが人気のパスワードマネージャーであり、競合他社のアプリよりも多くのセキュリティ専門家が調査を行ったことが主な原因なのかは、まだ不明です。

しかし、今回の最新の脆弱性は、LastPassが2FAプロセスを選択したことに起因しているようです。この2FAプロセスは実装が容易だったものの、最終的にはそれほど安全ではなかったことが証明されました。今回発見された脆弱性をきっかけに、LastPassはアプリケーションのアーキテクチャをより徹底的に見直し、パスワードマネージャーのセキュリティ基盤をより強固なものにする必要があるかもしれません。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Deals
Posted by Lorlink