Belangrijke beveiligingsupdates voor onze gebruikers

Update March 25, 2017 (5:00pm): Our team is currently investigating a new report by Tavis Ormandy and will update our community when we have more details. Thank you.

Overzicht beveiligingsincident 22 maart 2017 (14.30)

We willen onze community op de hoogte brengen van het laatste nieuws rondom de kwetsbaarheden die recentelijk werden gemeld door Tavis Ormandy, een beveiligingsonderzoeker van Googles team Project Zero.

Dit is een lang bericht, dus u kunt de belangrijkste punten doorlezen in de samenvatting en voor meer details verder lezen in het complete overzicht.

Samenvatting

  • Beveiligingsonderzoeker Tavis Ormandy heeft recentelijk twee kwetsbaarheden gevonden
  • Ons onderzoek heeft tot nu toe geen aanwijzingen opgeleverd dat gevoelige gebruikersgegevens verloren gegaan of gelekt zijn
  • Alle LastPass-extensies zijn gepatcht en worden opnieuw vrijgegeven aan gebruikers
  • De kwetsbaarheden waren niet van toepassing voor onze mobiele apps voor Android en iOS
  • U hoeft uw masterwachtwoord niet te wijzigen
  • U hoeft geen aanmeldingsgegevens voor websites te wijzigen
  • Zorg dat u de meest recente versies gebruikt
    • De meeste gebruikers ontvangen automatisch de meest recente update, maar de nieuwste versie kan ook altijd worden gedownload vanaf com/download
    • Controleer uw versie door op het LastPass-pictogram te klikken. U vindt uw versie onder Meer opties > Over LastPass
      • Firefox: 4.1.36
      • Chrome: 4.1.43.82
      • Edge: 4.1.30 (in afwachting van goedkeuring door Microsoft)
      • Opera: 4.1.28 (in afwachting van goedkeuring door Opera)

Wat is er gebeurd?

Beveiligingsonderzoeker Tavis Ormandy van Google’s Project Zero meldde vorige week twee kwetsbaarheden aan ons team die van toepassing waren voor veel LastPass-browserextensies. De meldingen waren relevant voor zakelijke en particuliere accounts.

Om de gemelde kwetsbaarheden te misbruiken, zou een aanvaller de LastPass-gebruiker eerst naar een kwaadaardige website lokken. Tavis demonstreerde hoe een aanvaller – als dat gelukt was – de API’s van LastPass kon aanroepen of soms ook willekeurige code uitvoeren, zogenaamd als vertrouwde partij. Hiermee kon de aanvaller mogelijkerwijs informatie uit een LastPass-account ophalen en compromitteren, zoals aanmeldingsgegevens van de gebruiker.

Bug met berichtkaping in 3.3.2 voor Firefox

De melding
Op basis van ons proces voor URL-parsing in versie 3.3.2 voor Firefox konden kwaadaardige websites voor de LastPass-extensie doorgaan voor legitieme sites, waarvoor de extensie de aanmeldingsgegevens opgaf.

Deze fout is vorig jaar aan ons team gemeld en toen ook direct opgelost. Deze oplossing is niet automatisch verwerkt in de Firefox-3.3.x-extensies, die vanaf april volgens planning niet meer wordt ondersteund.

Wat u moet weten

  • Voor de publicatie van dit rapport hebben we al aangekondigd dat de 3.x-extensies voor Firefox vanaf april niet meer worden ondersteund.
  • We raden u dringend aan om de update naar 4.1.36 voor Firefox te downloaden via com/download. Gebruikers kunnen ook een update naar 3.3.4 downloaden. Zoals gezegd zal de 3.x-versie van LastPass echter de komende weken buiten gebruik worden genomen.

Bug in de website connector

De melding
Een probleem met de architectuur voor een functie voor nieuwe gebruikers was van toepassing op clients die gebruik maakten van deze code (Chrome, Firefox of Edge). Een kwaadaardige website kon zich voor LastPass voordoen als een vertrouwde partij en zo accountgegevens stelen. Gebruikers met de binaire component van LastPass (minder dan 10%) liepen ook risico door een andere exploit als ze naar een kwaadaardige website werden gelokt.

Deze bug kwam in augustus 2016 voor het eerst in omloop met de release van deze experimentele functie voor nieuwe gebruikers. De code wordt gebruikt in alle LastPass-clients op Chrome, Firefox en Edge.

Nadat LastPass op de hoogte was gebracht van de kwetsbaarheid, werd de betreffende functie direct uit de lucht gehaald en ging het team van LastPass aan het werk om alle betroffen clients bij te werken.

Terwijl we aan het werk waren om de kwestie aan de client-kant op te lossen, tweette Tavis over een andere kwestie (de tweet is weer verwijderd). Dit ging echter om hetzelfde probleem, maar op twee verschillende browsers. Hierdoor ontstond enige verwarring over het aantal problemen en de status van de oplossingen.

Wat u moet weten

  • We hebben updates geïmplementeerd voor alle betroffen clients om deze kwetsbaarheid op te lossen en alle gebruikers voorzien van nieuwe versies.
  • Chrome en Firefox werken hier al mee, de versies voor Edge en Opera moeten nog goedgekeurd worden door de app-stores.
  • In het kader van ons proces voor probleemoplossing hebben we alle andere extensies (en de installatieprogramma’s) die gebruik maken van deze code diepgaand geanalyseerd.

De volledige tijdlijn (tijdzone: EST)

Bug met berichtkaping in 3.3.2 voor Firefox

  • 10 maart: LastPass kondigt aan te stoppen met de 3.3.x-extensies voor Firefox
  • 15 maart 22.45: Kwetsbaarheid voor berichtkaping in 3.3.2-extensie voor Firefox komt aan het licht
  • 15 maart 22.48: LastPass ontvangt details van de bug in de 3.3.2-extensie voor Firefox en start een onderzoek
  • 17 maart 08.43: LastPass dient een patch in bij Mozilla met 3.3.4 voor Firefox

Bug in de website connector

  • 20 maart 19.20: Bug in de website connector voor 4.1.42 voor Chrome komt aan het licht
  • 20 maart 19.36: LastPass start een functieoverschrijdend beveiligingsonderzoek
  • 21 maart 00.15: LastPass haalt de server van de betreffende service uit de lucht
  • 21 maart 07.04: LastPass kondigt aan dat er een tijdelijke beveiliging aan de serverzijde geïmplementeerd is, voor zolang als het onderzoek naar de client-zijde loopt en totdat alles ook daar volledig opgelost is
  • 22 maart 00.10: LastPass brengt 4.1.36 voor Firefox uit met oplossing
  • 22 maart 12.07: LastPass brengt 4.1.43.82 voor Chrome uit met oplossing
  • 22 maart 13.55: LastPass dient 4.1.30 voor Edge in ter goedkeuring
  • 22 maart 14.49: LastPass.com brengt 4.1.28 voor Opera met oplossing uit op com/download; wacht op goedkeuring door store

Enkele goede gewoonten voor uw beveiliging

De meeste gebruikers van LastPass volgen de bekende best practices. De volgende reminders kunnen echter geen kwaad:

  • Pas op voor phishing-aanvallen. Klik niet op links van onbekenden of op links die niet overeenstemmen met wat u gewend bent van uw vertrouwde contactpersonen en bedrijven.
  • Gebruik voor ieder online account een ander, uniek wachtwoord.
  • Gebruik een sterk en veilig masterwachtwoord voor uw LastPass-account, dat u aan niemand meedeelt – ook niet aan ons.
  • Schakel tweeledige verificatie in voor LastPass en andere online diensten, zoals uw bank, e-mail, Twitter, Facebook, etc.
  • Houd uw computer en mobiele apparaten schoon met behulp van antivirussoftware, en update uw software zodra dit kan.

Een blik op de toekomst

Om dit soort problemen in de toekomst te voorkomen, brengen we verbeteringen aan voor de huidige kwaliteitscontrole voor onze code, met name voor nieuwe en experimentele functies.

Veiligheid is natuurlijk de kern van ons werk. We streven naar transparantie in onze omgang met dit soort kwetsbaarheden. We hechten veel waarde aan het werk dat Tavis, Project Zero en andere bonafide hackers verrichten. We hebben er allemaal baat bij als dit beveiligingsmodel werkt om bugs op een verantwoordelijke manier te rapporteren. En we weten zeker dat LastPass hierdoor een beter product wordt. Onderzoekers kunnen bijdragen via ons beloningsprogramma voor het melden van bugs: https://bugcrowd.com/lastpass.

———-

22 maart 2017 (11.12)

De afgelopen week hebben we samengewerkt met Tavis Ormandy, beveiligingsonderzoeker bij Google, om de gerapporteerde kwetsbaarheden te onderzoeken en op te lossen. We bieden onze verontschuldigingen aan voor de verlate reactie. We hebben deze rapporten grondig onderzocht om u zoveel mogelijk details te kunnen geven. Er komt binnenkort een uitgebreidere evaluatie, maar we wilden onze community nu alvast een korte samenvatting bieden.

Wat is er gebeurd?
In de nacht van 20 maart ontvingen we een melding over een kwetsbaarheid in onze extensie 4.1.42.80 voor Chrome. We hebben de melding direct onderzocht en binnen enkele uren een tijdelijke oplossing aan de server-zijde geïmplementeerd. De kwetsbaarheid gold voor alle LastPass-clients – Chrome, Firefox, Edge – waarin een experimentele functie voor nieuwe gebruikers was ingebouwd.

Later op 21 maart kwam er nog een melding binnen, over Firefox 4.1.35a. Dit ging grotendeels om dezelfde kwetsbaarheid als de al eerder gemelde kwetsbaarheid en had betrekking op de 4.x-extensie voor Firefox. Dit probleem zou ook opgelost zijn door de permanente oplossing voor het reeds gemelde probleem, maar de melding kwam binnen voordat deze kon worden geïmplementeerd. We hebben vandaag om 00.15 uur een update uitgebracht die dit specifieke probleem verhelpt: 4.1.36a voor Firefox.

De oplossingen worden uitgerold naar al onze gebruikers en de meeste gebruikers ontvangen de update automatisch.

We hebben geen aanwijzingen dat de gemelde kwetsbaarheden door kwaadwillenden benut zijn, maar op dit moment onderzoeken we dit grondig ter bevestiging. We bieden binnenkort een vollediger overzicht van de gebeurtenissen, met alle informatie die onze community nodig heeft. Op dit moment hoeven gebruikers geen wachtwoorden te wijzigen.