Según LastPass, la computadora de la casa de un empleado fue pirateada y la bóveda de la empresa fue robada
León Neal | LastPass, que ya estaba afectado por una brecha que puso credenciales parcialmente cifradas en manos de un atacante, dijo el lunes que el mismo atacante pirateó la computadora de la casa de un empleado y obtuvo una bóveda descifrada disponible solo para un puñado de desarrolladores en el stand de la compañía. Aunque una penetración inicial en LastPass terminó el 12 de agosto, los funcionarios del principal administrador de contraseñas dijeron que del 12 al 26 de agosto, el actor de amenazas «participó activamente en una nueva serie de actividades de inteligencia, enumeración y exfiltración». Un atacante desconocido pudo robar credenciales válidas de un ingeniero senior de DevOps y acceder al contenido de una bóveda de datos de LastPass. Entre otras cosas, la bóveda proporcionó acceso a un entorno de almacenamiento en la nube compartido que contenía las claves de cifrado para las copias de seguridad de la bóveda del cliente almacenadas en cubos de Amazon S3.
Otra bomba estalla
«Esto se logró atacando la computadora de la casa del ingeniero de DevOps y explotando un paquete de software de medios de terceros vulnerable que permitía la ejecución remota de código y permitía al atacante implantar malware registrador de teclas», escribieron los funcionarios de LastPass. «El atacante pudo capturar la contraseña maestra del empleado tal como se ingresó, después de que el empleado se autenticara mediante MFA y obtuviera acceso a la bóveda corporativa de LastPass del ingeniero de DevOps». bóveda de la empresa. Una vez en posesión de la bóveda descifrada, el atacante exportó las entradas, incluidas las «claves de descifrado necesarias para acceder a las copias de seguridad de producción de AWS S3 LastPass, otros recursos de almacenamiento basados en la nube y algunas copias de seguridad de bases de datos críticas asociadas». La actualización del lunes se produce dos meses después de que LastPass lanzara una actualización bomba anterior que decía por primera vez que los atacantes habían recibido datos de la bóveda del cliente que contenían datos cifrados y de texto sin formato, contrariamente a afirmaciones anteriores. LastPass dijo en ese momento que el atacante también obtuvo una clave de acceso al almacenamiento en la nube y claves de descifrado para contenedores de almacenamiento dual que permitieron copiar los datos de copia de seguridad de la bóveda del cliente desde el contenedor de almacenamiento cifrado. Los datos de la copia de seguridad incluían datos no cifrados, como URL de sitios web, así como nombres de usuario y contraseñas de sitios web, notas seguras y datos de formularios que tenían una capa adicional de cifrado con AES de 256 bits. Los nuevos detalles explican cómo el atacante obtuvo las claves de cifrado S3. La actualización del lunes dijo que las tácticas, técnicas y procedimientos utilizados en el primer incidente diferían de los del segundo y, por lo tanto, inicialmente no estaba claro para los investigadores si los dos estaban directamente relacionados. Durante el segundo incidente, el actor de amenazas usó la información obtenida durante el primero para enumerar y filtrar los datos almacenados en los cubos S3. «Las alertas y el registro se habilitaron durante estos eventos, pero no indicaron de inmediato el comportamiento anómalo, que se hizo más claro después durante la investigación», escribieron los funcionarios de LastPass. «Específicamente, el atacante pudo usar credenciales válidas robadas de un ingeniero senior de DevOps para acceder a un entorno de almacenamiento en la nube compartido, lo que inicialmente dificultó que los investigadores distinguieran entre la actividad del atacante y la actividad legítima en curso. LastPass se enteró del segundo incidente de Amazon. alertas de comportamiento, cuando el atacante intentó usar los roles de Cloud Identity and Access Management (IAM) para realizar actividades no autorizadas. Según una persona informada sobre un informe privado de LastPass, que habló bajo condición de anonimato, el paquete de software de medios explotado en la computadora de la casa del empleado era Plex. Curiosamente, el 24 de agosto, solo 12 días después de que comenzara el segundo incidente, Plex informó sobre su propia brecha en la red. La brecha permitió al atacante acceder a una base de datos propietaria y obtener detalles de contraseñas, nombres de usuario y correos electrónicos de algunos de sus 30 millones de clientes. Plex es un importante proveedor de servicios de transmisión de medios, que permite a los usuarios transmitir películas y audio, jugar juegos y acceder a su propio contenido alojado en servidores de medios domésticos o locales. No está claro si la violación de Plex tiene alguna conexión con los ataques de LastPass. Los representantes de LastPass y Plex no han respondido a los correos electrónicos que solicitan comentarios sobre esta historia. El actor de amenazas detrás de la violación de LastPass ha demostrado ser particularmente ingenioso, y la revelación de que explotó con éxito una vulnerabilidad de software en la computadora de la casa de un empleado refuerza aún más esa opinión. Como recomendó Ars en diciembre, todos los usuarios de LastPass deben cambiar sus contraseñas maestras y cualquier contraseña almacenada en sus bóvedas. Si bien no está claro si el atacante tiene acceso a ambos, las precauciones están justificadas.