Es stellt sich heraus, dass die massive Verletzung bei LastPass hätte gestoppt oder zumindest verzögert werden können, wenn ein Mitarbeiter des Unternehmens eine Software auf seinem Heimcomputer aktualisiert hätte.
Diese Woche enthüllte LastPass, dass der Hacker die Lücke geschlossen hatte, indem er Malware auf dem Heimcomputer eines Mitarbeiters installierte und es ihm ermöglichte, Tastenanschläge auf dem Computer zu erfassen. Eine offene Frage war jedoch, wie die Malware übertragen wurde.
Damals LastPass genannt(Öffnet in einem neuen Fenster) nur dass der Hacker „ein verwundbares Mediensoftwarepaket eines Drittanbieters“ ausgenutzt hat, ohne den Hersteller oder den genauen Fehler zu nennen. Das veranlasste viele zu der Frage, ob der Hacker eine derzeit unbekannte Schwachstelle missbraucht hatte, die viele andere Benutzer in Gefahr bringen könnte.
PCMag hat inzwischen erfahren, dass der Hacker die Plex Media Server-Software ins Visier genommen hat, um die Malware auf den Heimcomputer des LastPass-Mitarbeiters zu laden. Aber interessanterweise war der ausgenutzte Fehler nichts Neues. Laut Plex ist die Schwachstelle fast drei Jahre alt und wurde vor langer Zeit gepatcht.
Plex teilte PCMag mit, dass die Schwachstelle CVE-2020-5741(Öffnet in einem neuen Fenster)die das Unternehmen den Benutzern im Mai 2020 öffentlich bekannt gab. „Ein Angreifer, der bereits Administratorzugriff auf einen Plex Media Server hatte, könnte die Kamera-Upload-Funktion missbrauchen, um den Server dazu zu bringen, bösartigen Code auszuführen“, sagte das Unternehmen damals.
(Bildnachweis: Plex)
„Zu diesem Zeitpunkt wurde, wie in diesem Beitrag erwähnt, eine aktualisierte Version des Plex Media Servers allen zur Verfügung gestellt (7. MAI 2020)“, sagte ein Sprecher von Plex. „Leider hat der LastPass-Mitarbeiter seine Software nie aktualisiert, um den Patch zu aktivieren. Als Referenz: Die Version, die diesen Exploit behandelte, war ungefähr 75 Versionen alt.“
LastPass lehnte eine Stellungnahme ab. Aber Anfang dieser Woche bestätigte das Unternehmen, dass „der Angreifer eine Schwachstelle in einer früheren, ungepatchten Version von Plex Media Server auf dem Heimcomputer eines LastPass-DevOps-Ingenieurs ausgenutzt hat. Wir haben uns an Plex Media Server gewandt, um sie zu informieren.“
Warum der LastPass-Mitarbeiter seinen Plex Media Server nicht aktualisiert hat, ist unbekannt. Plex sagte gegenüber PCMag, dass das Unternehmen „über die Admin-Benutzeroberfläche Benachrichtigungen über verfügbare Updates bereitstellen und in vielen Fällen auch automatische Updates durchführen wird“.
„Ohne weitere Informationen zu allen Einzelheiten können wir nicht spekulieren, warum diese Person Plex über einen so langen Zeitraum nicht aktualisiert hat“, fügte der Sprecher hinzu.
Von unseren Redakteuren empfohlen
Der Vorfall zeigt, wie wichtig es ist, Ihre Software auf dem neuesten Stand zu halten. Es ist jedoch wichtig zu beachten, dass der Hacker bereits Administratorzugriff auf das Plex Media Server-Konto des Mitarbeiters hatte, um den CVE-2020-5741-Fehler auszunutzen. Dies deutet darauf hin, dass der Angreifer bereits Jagd auf den LastPass-Mitarbeiter gemacht hat und sich andere Möglichkeiten einfallen lassen könnte, seinen Computer mit Malware zu infizieren.
Dennoch zeigt die Verletzung bei LastPass, dass das Unternehmen einen weiteren Fehler begangen hat, indem es dem Mitarbeiter erlaubte, seinen Heimcomputer zu verwenden, um auf äußerst sensible Daten zuzugreifen. Laut LastPass hat der Hacker eine Keylogging-Malware auf dem Heimcomputer installiert, die es ihnen ermöglicht, „das Master-Passwort des Mitarbeiters bei der Eingabe zu erfassen, nachdem sich der Mitarbeiter mit MFA (Multi-Faktor-Authentifizierung) authentifiziert hat, und Zugriff auf das LastPass-Unternehmen des DevOps-Ingenieurs zu erhalten Gewölbe.”
Der Zugriff ebnete dem Hacker dann einen Weg, um eine Kopie der verschlüsselten Passwort-Tresore der Kunden zusammen mit unverschlüsselten Daten zu den Kontoinformationen der Benutzer, einschließlich E-Mail-Adressen und Telefonnummern, zu stehlen. Der Verstoß hat seitdem das Vertrauen in LastPass erschüttert, aber das Unternehmen hat daran gearbeitet, seine Sicherheit als Reaktion darauf zu verbessern.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen Und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.