LastPass曝漏洞 攻击者可绕过双重认证机制

LastPass又有漏洞了，攻击者可绕过双重认证机制

Salesforce研究人员又发现了LastPass中的漏洞，其中包括一个双重身份认证（2FA）机制漏洞。该漏洞可能被黑客利用，绕过保护机制并获得用户帐户的访问权限。

2010年11月，Salesforce研究人员Martin Vigo在LastPass发现几个漏洞后，再次分析了受欢迎的密码管理器，特别是其2FA机制。

临时2FA码是基于多个变量生成的，变量包括编码在QR码中的secret seed——这里的QR码就是用户可用2FA应用扫描的二维码。

测试发现，QR码向用户显示的时候，请求中包含了LastPass用于认证的登录hash。实际上，这里的2FA secret seed是来源于用户密码，这就打破了2FA保护的原有价值。

在确定QR码的URL并不困难时，黑客需要通过身份验证才能使攻击工作。 然而，利用跨站点请求伪造（CSRF）漏洞可以解决这个问题。 获取登录用户点击利用CSRF缺陷的特制链接可能允许攻击者获取QR码图像。

研究人员还发现使用CSRF漏洞禁用2FA的一种简单方法。 与所有CSRF攻击一样，黑客需要让受害者访问恶意网站。

LastPass当前已经修复了该问题，另外还包括通过CSRF攻击禁用2FA的漏洞，修复是在服务器端进行的，用户无需执行操作。

在星期四发布的博客文章中，LastPass通知用户，他们不需要采取任何措施，因为所有的修复都已经在服务器端完成。 该公司还指出，利用这些缺陷需要组合使攻击更加困难的因素。

原文链接：http://www.securityweek.com/flaws-allowed-hackers-bypass-lastpass-2fa