Die erfolgreichen Attacken auf die IT-Systeme des Passwortmanager-Anbieters LastPass geht auf eine Verkettung von verschiedenen Umständen zurück.
In einem neuen Statement führt LastPass aus, wie Angreifer in Systeme eindringen und auf Kundendaten zugreifen konnten. Dafür haben sie unter anderem den Privat-Computer eines DevOps-Entwicklers erfolgreich ins Visier genommen.
Auch Firmenkunden betroffen
In dem Beitrag dröseln die Verantwortlichen den Vorfall weiter auf. Im August 2022 gab es die ersten Informationen, dass Angreifer Einbrecher Quellcode von LastPass-Servern kopieren konnten. Zu diesem Zeitpunkt versicherten Passwortmanager-Anbieter, dass es keine Zugriffe auf Kundendaten gegeben habe. Diese Aussage wurde auch noch im September 2022 vertreten, als klar wurde, dass die Angreifer vier Tage Zugriff auf die Systeme hatten. Im Dezember 2022 kam dann raus, dass die Angreifer doch Kundendaten einsehen konnten. Darunter unter anderem die Kronjuwelen von LastPass: Die Kennworttresore von Kunden.
Schlechte Nachrichten gibt es auch für Firmenkunden, die Federated Login einsetzen. In so einem Fall besteht das “Hidden Master Password” aus den Komponenten K1 und K2. Wie LastPass nun zugegeben hat, konnten die Angreifer K2 erbeuten. K1 ist für alle Firmenmitarbeiter zugänglich. Dementsprechend müsste ein Angreifer lediglich einen Mitarbeiter-Account kompromittieren, um auf sämtliche LastPass-Daten einer Firma zugreifen zu können.
Was ist geschehen?
Bekannt ist, dass die Angreifer bei der ersten Attacke Zugangsdaten von einem LastPass-Mitarbeiter erbeuten konnten. Doch die Daten sollen verschlüsselt gewesen sein, sodass der Zugriff auf den Cloud-Speicher des Unternehmens nicht ohne Weiteres möglich war.
Um an den Schlüssel für die Log-in-Daten zu kommen, sollen die Angreifer den Privat-PC eines DevOps-Entwicklers gehackt haben. Dafür haben sie den Verantwortlichen zufolge an einer Sicherheitslücke in einem Mediensoftware-Paket angesetzt und im Anschluss einen Keylogger auf dem Computer installiert. Darüber haben sie dann nach der Multi-Faktor-Authentifizierung des Mitarbeiters das eingetippte Master-Passwort mitgeschnitten und konnten sich Zugang zum Cloud-Speicher verschaffen. Nun hatten die Angreifer Zugriff auf unter anderem Backups und weitere Schlüssel.
LastPass versichert, dass sie ihre Systeme gegen weitere Attacken gehärtet haben. Dafür haben sie eigenen Angaben zufolge unter anderem Authentifizierungsverfahren verschärft.
Passwörter noch sicher?
Damit Angreifer kein leichtes Spiel haben, liegen Passwörter nicht im Klartext im Tresor, sondern die Daten sind geschützt. Um eine Rekonstruktion so schwer wie möglich zu machen, kommt eine kryptografische Hashfunktion plus Salt zum Einsatz, die mehrmals angewendet wird.
LastPass gibt an, dass sie dafür Password-Based Derivation Function 2 (PBKDF2) einsetzen. Standardmäßig setzt LastPass auf 100.100 PBKDF2-Wiederholungen. Als Hashfunktion kommt SHA256 zum Einsatz. Damit diese Kombination so sicher wie möglich ist, empfiehlt das Open Web Application Security Project (OWASP) 600.000 Wiederholungen. Laut einem Supportbeitrag von LastPass folgt man mittlerweile dieser Empfehlung. Doch für existierende Accounts wird die Zahl der Iterationen nicht automatisch erhöht.
Vermeidbares Sicherheitsrisiko
Wie der Sicherheitsforscher Wladimir Palant bereits Ende vergangenen Jahres berichtete, führt das bei manchen Nutzern zu realer Gefahr. Ihm seien demnach Fälle bekannt, in denen es nur 5000, 500 oder sogar nur eine einzige Wiederholung bei der Anwendung von PBKDF2 gibt. Das ermöglicht zumindest das Knacken einfacher Passwörter in überschaubarer Zeit. Wer den Passwortmanager nutzt, kann den Wert in seinem Account anpassen.
Eine konkrete Anfrage von heise Security zur Anwendung von PBKDF2 beantwortete LastPass nur mit dem Verweis auf ein allgemeines Statement und nahm somit keine direkte Stellung zu der Sicherheitsproblematik.