사용자를 위한 중요 보안 업데이트

Update March 25, 2017 (5:00pm): Our team is currently investigating a new report by Tavis Ormandy and will update our community when we have more details. Thank you.

사고 보고서: 2017년 3월 22일(오후 2시 30분)

당사는 Google Project Zero 팀의 보안 연구원 Tavis Ormandy가 최근 보고한 취약점 관련 업데이트를 커뮤니티에 제공하고자 합니다.

본 게시물의 내용이 길기 때문에 개요에서 필수 정보를 확인하거나 아래 종합 요약의 세부사항을 참조할 수 있습니다.

개요

  • 최근 보안 연구원 Tavis Ormandy가 두 가지 취약점을 식별했습니다.
  • 현재까지의 당사 조사에 따르면 중요한 사용자 데이터가 손실되거나 도용되지 않았습니다.
  • 모든 확장에 패치가 제공되었으며 사용자에게 다시 출시되고 있습니다.
  • 당사의 Android 및 iOS용 모바일 앱은 영향을 받지 않았습니다.
  • 마스터 암호를 변경하지 않아도 됩니다.
  • 사이트 자격 증명 암호를 변경할 필요가 없습니다.
  • 최신 버전을 실행하고 있는지 확인하십시오.
    • 대부분 사용자의 기기에서는 자동으로 업데이트되지만 필요한 경우 최신 버전을 com/download에서 항상 다운로드할 수 있습니다.
    • LastPass 아이콘 > 추가 옵션 > LastPass 도움말을 선택하여 버전을 확인하십시오.
      • Firefox: 4.1.36
      • Chrome: 4.1.43.82
      • Edge: 4.1.30(Microsoft 승인 대기 중)
      • Opera: 4.1.28(Opera 승인 대기 중)

사건 경위

Google의 Project Zero 연구원인 Tavis Ormandy는 지난 몇 주 동안 많은 LastPass 브라우저 확장 기능에 영향을 끼친 가지 취약점을 당사 팀에 보고했습니다. 보고된 문제는 개인 및 비즈니스 사용자 모두에게 영향을 주었습니다.

공격자는 보고된 취약점을 악용하기 위해 먼저 사용자를 악성 웹 사이트로 유인합니다. Tavis는 사용자가 악성 웹 사이트에 들어온 후 공격자가 어떤 방법으로 LastPass API를 호출하거나 일부 경우에는 신뢰할 수 있는 당사자로 가장하면서 임의 코드를 실행하는지 시연했습니다. 이를 통해 공격자는 LastPass 계정으로부터 사용자의 로그인 자격 증명과 같은 정보를 검색하여 정보를 유출할 수 있습니다.

Firefox용 확장 기능 3.3.2 버전의 메시지 하이재킹 버그

보고 내용:
악성 웹 사이트는 LastPass의 Firefox용 확장 기능 3.3.2 버전에서 당사의 URL 구문 분석 프로세스를 기반으로 합법적인 웹 사이트로 위장하여 사용자 사이트 자격 증명을 제공하도록 LastPass 추가 기능을 위조할 수 있었습니다.

이 버그는 지난해 당사 팀에 보고되었으며 당시 수정되었습니다. 그러나 이 수정사항은 당사의 레거시 Firefox용 확장 기능 3.3.x 브랜치에 푸시다운되지 않았습니다. 이 브랜치는 4월에 공식적으로 폐기될 예정입니다.

참고사항:

웹 사이트 커넥터 버그

보고 내용:
소비자 온보딩 기능을 위한 아키텍처의 문제가 해당 코드가 나타난 클라이언트(Chrome, Firefox, Edge)에 영향을 주었습니다. 악성 웹 사이트는 신뢰할 수 있는 당사자로 가장함으로써 LastPass를 속이고 사이트 자격 증명을 훔칠 수 있습니다. LastPass 바이너리 구성 요소를 실행하는 사용자(LastPass 사용자층의 10% 미만)는 악성 웹 사이트에 유인될 때 원격 공격에 더 취약합니다.

이 버그는 당사가 소비자 사용자에게 실험적인 온보딩 기능을 공개한 2016년 8월에 처음 도입되었습니다. 그러나 이 코드는 Chrome, Firefox, Edge LastPass 클라이언트 안에 모두 존재합니다.

LastPass 팀은 취약점을 인지하자마자 즉시 취약한 서비스를 종료했으며 영향을 받은 클라이언트를 모두 업데이트하기 시작했습니다.

당사의 클라이언트 측 수정 작업을 하면서 Tavis는 추가 문제에 대해 트윗했습니다(이후 삭제됨). 정확히 말하자면, 이 문제는 두 개의 서로 다른 브라우저에서 동일하게 발생했습니다. 이러한 상황은 문제의 규모와 수정의 상태에 대해 일부 혼란을 초래했습니다.

참고사항:

  • 당사는 이 취약점을 완전히 제거하기 위해 영향을 받은 모든 클라이언트에 업데이트를 제출했으며 해당 업데이트를 모든 사용자에게 다시 출시했습니다.
  • Chrome 및 Firefox에서는 업데이트가 정식 출시되었으며 Edge 및 Opera의 경우 앱스토어 승인을 기다리고 있습니다.
  • 당사는 이 프로세스의 일부로서 이 코드를 이용하는 모든 다른 확장 기능(당사 설치 프로그램도 포함)에 대한 철저한 분석을 수행했습니다.

전체 타임라인(미 동부):

Firefox용 확장 기능 3.3.2 버전의 메시지 하이재킹 버그

  • 3월 10일: LastPass에서 Firefox용 확장 기능3.x 버전의 지원 중단 소식을 정식으로 발표
  • 3월 15일 오후 10시 45분: Firefox용 확장 기능3.2 버전의 메시지 하이재킹 취약점이 발표됨
  • 3월 15일 오후 10시 48분: LastPass에서 Firefox용 확장 기능3.2 버전의 버그 세부사항을 입수하고 조사를 시작함
  • 3월 17일 오전 8시 43분: LastPass에서 Firefox용 확장 기능3.4 버전의 패치를 Mozilla에 제출함

웹 사이트 커넥터 버그

  • 3월 20일 오후 7시 20분: Chrome용 확장 기능1.42 버전의 웹 사이트 커넥터 버그가 발표됨
  • 3월 20일 오후 7시 36분: LastPass 기능 전반의 보안 조사에 착수함
  • 3월 21일 오전 12시 15분: LastPass에서 잘못된 서비스 서버 측을 종료함
  • 3월 21일 오전 7시 4분: LastPass에서 서버 측 대책을 발표함, 당사에서 코드를 철저하게 분석하여 클라이언트 측 문제를 완벽하게 해결함
  • 3월 22일 오전 12시 10분: LastPass에서 수정을 포함하는 Firefox용 확장 기능1.36 버전을 출시함
  • 3월 22일 오후 12시 7분: LastPass에서 수정을 포함하는 Chrome용 확장 기능1.43.82 버전을 출시함
  • 3월 22일 오후 1시 55분: LastPass에서 Edge용 확장 기능1.30 버전을 출시용으로 제출함
  • 3월 22일 오후 2시 49분: LastPass에서 com/download에 수정을 포함하는 Opera용 확장 기능 4.1.28 버전을 출시함(스토어 출시 대기 중)

개인 보안 최우수 사례에 대한 미리 알림

당사는 LastPass 사용자가 최우수 사례를 따르기 위해 노력하고 있다는 것을 알고 있습니다. 사용자 시스템을 보호하고 데이터를 안전하게 지키는 방법을 몇 가지 알려드립니다.

  • 피싱 공격에 유의하십시오. 모르는 사람부터 왔거나 신뢰하는 연락처 및 회사와 어울리지 않는 링크를 클릭하지 마십시오.
  • 각 온라인 계정마다 고유한 암호를 사용하십시오.
  • LastPass 계정에서 강력하고 안전한 마스터 암호를 사용하고 당사를 포함하여 누구에게도 공개하지 마십시오.
  • LastPass는 물론 은행, 전자 메일, Twitter, Facebook 등 다른 서비스에서도 2단계 인증 기능을 사용하십시오.
  • 안티 바이러스 소프트웨어를 실행하고 소프트웨어를 최신으로 유지함으로써 깨끗한 시스템을 유지하십시오.

향후 계획

당사는 향후 이러한 문제를 방지하기 위해 현재 시행 중인 보안 프로세스 및 코드 검토를 평가 및 강화하고 있습니다(새 실험 기능 위주).

보안이 당사의 비즈니스에 있어 가장 중요하다는 사실은 말할 필요가 없습니다. 당사는 투명한 방식으로 이 문제에 대응하기 위해 노력하고 있습니다. 당사는 Project Zero의 Tavis 및 다른 선량한 해커 연구원의 연구 활동을 매우 높게 평가합니다. 이 보안 모델이 책임 있는 방식으로 버그를 공개하는 데 있어 효과가 있을 경우, 이는 우리 모두에게 이익이 되며 LastPass는 이 점에 주목하고 있습니다. 당사의 버그 현상금 프로그램(https://bugcrowd.com/lastpass)에서 모든 연구원의 제보를 환영합니다.

———-

2017년 3월 22일(오전 11시 12분)

지난주, 당사는 Google 보안 연구원 Tavis Ormandy와 함께 보고된 취약점을 조사하고 해결하기 위해 노력했습니다. 가능한 한 사용자에게 많은 세부 정보를 제공하기 위해 보고서에 대한 철저한 조사를 수행하는 과정에서 응답이 지연된 점에 대해 사과드립니다. 조만간 조사 결과를 제공하겠지만, 먼저 커뮤니티를 위해 간략한 요약을 제공해 드립니다.

사건 경위
3월 20일 밤 당사는 Chrome용 확장 기능 4.1.42.80 버전에 대한 문제 보고서를 입수했습니다. 당사는 즉시 조사에 착수했으며 몇 시간 만에 서버 측 대책을 공개했습니다. 실험 사용자 온보딩 기능이 출시된 모든 LastPass 클라이언트(Chrome, Firefox, Edge)에 익스플로잇 공격이 적용되었습니다.

3월 21일, Firefox용 확장 기능 4.1.35a 버전과 관련된 다른 보고서가 발표되었습니다. 사실 이 취약점은 전날 보고된 것과 거의 같은 것으로 Firefox 추가 기능 4.x 버전에 영향을 주고 있었습니다. 이 문제는 대책을 따르기 위한 당사의 전체 수정에 의해 해결되었지만, 이 보고서는 수정이 출시되기 전에 접수되었습니다. 당사는 해당 보고서에서 보고된 문제를 해결하기 위해 미 동부 표준시 오전 12시 15분경에 업데이트인 Firefox용 확장 기능 4.1.36a 버전을 출시했습니다.

수정은 모든 사용자에게 푸시되고 있으며 대부분 경우 자동으로 업데이트됩니다.

보고된 취약점이 암암리에 악용되고 있다는 증거는 아직 없지만 당사는 이 점을 확인하기 위해 현재 철저한 조사를 수행하고 있습니다. 당사는 조만간 현 상황 및 커뮤니티가 알아야 할 사항에 대한 보다 종합적인 요약을 제공할 것입니다. 현재 사용자는 암호를 변경할 필요가 없습니다.