Важные новости о безопасности для наших пользователей

Update March 25, 2017 (5:00pm): Our team is currently investigating a new report by Tavis Ormandy and will update our community when we have more details. Thank you.

Отчет об инциденте: 22 марта 2017 г. (14:30)

Мы должны проинформировать своих пользователей об уязвимостях, которые недавно выявил Тэвис Орманди, исследователь проблем безопасности из команды Project Zero в Google.

Это длинный текст, содержащий важные сведения в кратком обзоре, а также подробности в приведенной далее полной сводке.

Обзор

  • Недавно исследователь проблем безопасности Тэвис Орманди выявил две уязвимости.
  • Наше расследование на настоящий момент не подтвердило утечку или компрометацию каких-либо конфиденциальных данных.
  • Все расширения были исправлены и заново выпущены для пользователей.
  • Выявленная уязвимость не относится к нашим приложениям для мобильных устройств с Android и iOS.
  • Смена главного пароля не требуется.
  • Пароли к сайтам менять не требуется.
  • Убедитесь, что используются последние версии расширений.
    • У большинства пользователей обновления будут установлены автоматически, но новейшие версии всегда можно загрузить с веб-сайта com/download
    • Проверьте версию используемого расширения, выбрав значок LastPass, а затем пункты «Больше опций» > «О приложении LastPass».
      • Firefox: 4.1.36
      • Chrome: 4.1.43.82
      • Edge: 4.1.30 (ожидается одобрение Microsoft)
      • Opera: 4.1.28 (ожидается одобрение Opera)

Что произошло

Тэвис Орманди, исследователь в проекте Google Project Zero, за последнюю неделю сообщил нашей команде о двух уязвимостях, которые влияют на многие расширения LastPass для браузеров. Выявленные проблемы касаются как частных, так и бизнес-пользователей.

Чтобы использовать выявленные уязвимости, злоумышленнику пришлось бы сначала заманить пользователя на вредоносный веб-сайт. Тэвис продемонстрировал, как злоумышленник с помощью вредоносного сайта мог бы вызывать функции API LastPass, а в некоторых случаях выполнять произвольный код, притворяясь доверенной стороной. Это потенциально может позволить злоумышленнику получить и раскрыть сведения из учетной записи LastPass, такие как учетные данные к сайтам.

Ошибка, позволяющая перехватить сообщения в расширении версии 3.3.2 для Firefox

Какая проблема была выявлена
Используя нашу процедуру обработки URL -адресов в расширении версии 3.3.2 для Firefox, вредоносный веб-сайт может представляться законным и выманивать у расширения LastPass учетные данные к веб-сайтам.

Об этой ошибке нашей команде стало известно в прошлом году, и мы устранили ее тогда же. Однако это исправление не было внесено в расширение версии 3.3.x для Firefox, так как эта версия будет изъята из обращения в апреле.

Что вам следует знать

  • Недавно, еще до публикации настоящего отчета, мы объявили о выводе из обращения расширения версии 3.x для Firefox.
  • Мы настоятельно рекомендуем установить для Firefox расширение версии 4.1.36 с веб-сайта com/download. Пользователи могут также обновить расширение для Firefox до версии 3.3.4. Но, как указывалось ранее, расширение LastPass версии 3.x будет изъято из обращения в ближайшие недели.

Ошибка в функции подключения к веб-сайтам

Какая проблема была выявлена
Выявлена проблема в архитектуре встроенной функции инициализации пользователей в расширениях, содержавших этот код (Chrome, Firefox, Edge). Вредоносный веб-сайт мог потенциально обмануть LastPass, представившись доверенным, и выкрасть учетные данные. Пользователи, которые используют двоичный компонент LastPass (менее 10 % пользовательской базы LastPass), могли быть подвержены риску удаленной атаки, открыв вредоносный веб-сайт.

Эта ошибка была впервые выявлена в августе 2016 г., когда мы выпустили эту экспериментальную функцию инициализации для индивидуальных пользователей. Этот код, однако, присутствует во всех расширениях LastPass для Chrome, Firefox и Edge.

Когда стало известно об этой уязвимости, команда LastPass незамедлительно отключила уязвимую службу и начала обновлять все затронутые расширения.

Пока мы работали над устранением проблемы в расширениях, Тэвис сообщил в Твиттере (твит сейчас удален) о дополнительной проблеме. Следует отметить, что это была одна и та же проблема в двух разных браузерах. Это создало некоторую путаницу относительно количества проблем и статуса исправлений.

Что вам следует знать

  • Мы выпустили обновления для всех затронутых данной проблемой расширений, полностью устраняющие эту уязвимость. Эти обновления выпущены для всех пользователей.
  • Расширения для Chrome и Firefox уже опубликованы, а расширения для Edge и Opera ожидают одобрения в соответствующих магазинах приложений.
  • В рамках этого процесса мы провели исчерпывающий анализ всех остальных расширений (а также программ установки), в которых использовался данный код.

Полная хроника событий (по восточному времени США)

Ошибка, позволяющая перехватить сообщения в расширении версии 3.3.2 для Firefox

  • 10 марта: компания LastPass объявила об официальном выводе из обращения расширения версии 3.3.x для Firefox.
  • 15 марта, 22:45: опубликовано сообщение об ошибке, позволяющей перехватить сообщения в расширении версии 3.3.2 для Firefox.
  • 15 марта, 22:48: компания LastPass получила сведения об ошибке в расширении версии 3.3.2 для Firefox и начала расследование.
  • 17 марта, 08:43: компания LastPass предоставила организации Mozilla исправленное расширение версии 3.3.4 для Firefox.

Ошибка в функции подключения к веб-сайтам

  • 20 марта, 19:20: опубликовано сообщение об ошибке в функции подключения к веб-сайтам в расширении версии 4.1.42 для Chrome.
  • 20 марта, 19:36: компания LastPass начала расследование уязвимостей во всех функциях программного обеспечения.
  • 21 марта, 00:15: компания LastPass выключила уязвимую службу на своих серверах.
  • 21 марта, 07:04: компания LastPass объявила о реализации серверного исправления и приступила к полному анализу кода и устранению всех проблем в расширениях.
  • 22 марта, 00:10: компания LastPass выпустила исправленное расширение версии 4.1.36 для Firefox.
  • 22 марта, 12:07: компания LastPass выпустила исправленное расширение версии 4.1.43.82 для Chrome.
  • 22 марта, 13:55: компания LastPass представила для одобрения расширение версии 4.1.30 для Edge.
  • 22 марта, 14:49: компания LastPass опубликовала исправленное расширение версии 4.1.28 для Opera на веб-сайте com/download и представила его для одобрения в магазин расширений.

Напоминания об обеспечении безопасности персональных данных

Мы знаем, что пользователи LastPass стараются придерживаться лучших подходов, но всегда стоит помнить об общих принципах, позволяющих обезопасить свои устройства и данные.

  • Остерегайтесь фишинговых атак. Не переходите по ссылкам, полученным от незнакомцев, а также по странным ссылкам от проверенных контактов и компаний.
  • Используйте отдельный уникальный пароль для каждой онлайновой учетной записи.
  • Используйте для учетной записи LastPass надежный главный пароль и никогда не раскрывайте его никому, даже нам.
  • Включите двухфакторную аутентификацию для LastPass и других служб, таких как интернет-банк, электронная почта, Твиттер, Фейсбук и т.п.
  • Обезопасьте свои устройства от вредоносного ПО с помощью антивируса и обновлений программ.

Перспективы на будущее

Чтобы предотвратить возникновение таких проблем в будущем, мы пересматриваем и совершенствуем наши процедуры проверки кода и безопасности, особенно касающиеся новых и экспериментальных функций.

Безопасность, несомненно, является основой нашей деятельности. Мы стремимся к прозрачности при устранении проблем. Мы высоко ценим работу и помощь Тэвиса, команды Project Zero и других этичных исследователей проблем безопасности. Нам всем идет на пользу, что данная модель безопасности позволяет ответственно раскрывать ошибки. И мы уверены, что внимание делает LastPass сильнее. Мы предлагаем всем исследователям принять участие в нашей программе премирования за выявленные ошибки: https://bugcrowd.com/lastpass.

———-

22 марта 2017 г. (11:12)

Всю прошлую неделю мы работали в сотрудничестве с исследователем проблем безопасности Тэвисом Орманди из Google для расследования и устранения выявленных уязвимостей. Приносим извинения за задержку комментариев. Мы проводили всестороннее расследование выявленных проблем, чтобы предоставить вам наиболее подробную информацию. Вскоре мы опубликуем полный анализ причин инцидента, а сейчас хотим дать нашим пользователям короткую сводку произошедшего.

Что произошло
Вечером 20 марта мы получили сообщение о проблеме в нашем расширении версии 4.1.42.80 для Chrome. Мы незамедлительно провели расследование и через несколько часов реализовали исправление на стороне серверов. Уязвимость была выявлена во всех расширениях LastPass для Chrome, Firefox и Edge, в которых присутствовала экспериментальная функция инициализации пользователя.

Позднее, 21 марта поступило другое сообщение относительно расширения версии 4.1.35a для Firefox. На самом деле это была та же самая уязвимость в версиях 4.x расширения для Firefox, о которой поступил отчет днем ранее. Хотя эта проблема должна была быть полностью устранена в обновлении, выпущенном после серверного исправления, сообщение о проблеме было опубликовано до выпуска обновления. Мы выпустили обновленное расширение версии 4.1.36a для Firefox сегодня в 00:15 (EST) специально после данного сообщения.

Исправления выпущены для всех пользователей, у большинства пользователей расширения должны обновиться автоматически.

У нас нет оснований полагать, что какие-либо из выявленных уязвимостей были использованы злоумышленниками, но в настоящее время мы проводим тщательную проверку, чтобы удостовериться в этом. Вскоре мы опубликуем более полный отчет о событиях с необходимой нашим пользователям информацией. На данный момент смена паролей не требуется.