El investigador de seguridad Sean Cassidy demostró en ShmooCon lo fácil que puede ser para los atacantes comprometer una cuenta de correo electrónico, así como la contraseña y el código de una autenticación de dos factores de los usuarios que utilizan LastPass, todo a través de un ataque de phishing simple.

Con esta información, los atacantes pueden acceder al contenido de LastPass de la víctima y obtener toda la información (contraseñas, información sensible, etcétera) sin el conocimiento de la víctima; y --cambiar la configuración para que sigan teniendo acceso en el futuro.

El ataque crea una notificación en la ventana del navegador (el área debajo de la barra de pestañas y la dirección URL, como se ve en la imagen):

La pantalla de inicio de sesión en LastPass se muestra al usuario.

Esto sea realiza con la intención de atraer a las víctimas a un sitio web malicioso o uno que sea vulnerable a XSS, los atacantes son capaces de mostrar un mensaje que indica que la sesión expiró. Otro problema es que LastPass también es vulnerable a un cierre de sesión a través de CSRF, y ya que el sitio web permite a un usuario ingresar a LastPass, hace que la notificación falsa sea aún más convincente.

"Una vez que la víctima hace clic en el banner falso, es dirigida a una página de inicio de sesión controlada por el atacante que se ve idéntica a la de LastPass", explicó Cassidy.

"La víctima introducirá y enviará sus credenciales al servidor del atacante. El servidor del atacante comprobará si las credenciales son correctas llamando a la API de LastPass. La API informará si se requiere la autenticación de dos factores."

Si las credenciales son incorrectas, la víctima verá un mensaje de "contraseña no válida". Si el usuario tiene la autenticación de dos factores, verá un dialogo extra y escribirá el código que sea necesario.

Al obtener toda esa información, los atacantes pueden acceder y descargar toda la información de la víctima del API de LastPass, y asimismo, crear una "puerta trasera" de la cuenta mediante la desactivación de la autenticación de dos factores, añadiéndose a sí mismos como el contacto de emergencia, además de incluir su servidor como un dispositivo de confianza.

Cassidy dice que este ataque funciona en la versión más reciente de LastPass (4,0) y es aún mejor en Chrome. Incluso proporciona una herramienta que puede ser utilizada para realizar este ataque con el fin de "hacer prebas de pentest a sí mismos para tomar una decisión acerca de ese tipo de ataque y responder apropiadamente."

Los usuarios pueden comprobar si ya han sido atacados al revisar el historial de su cuenta de LastPass y ver si ha habido intentos de conexión sospechosos de direcciones IP inesperadas.

Cassidy aconsejó a los usuarios y las empresas desactivar la conexión móvil, registrar todos los nombres de usuario y los errores de inicio de sesión y pasar por alto las notificaciones en la ventana del navegador con el fin de protegerse y proteger a sus empleados. Esto último también debe informarse como un ataque potencial, de modo que puedan evitar convertirse en víctimas.

LastPass sabe de estos problemas y ha implementado algunas soluciones aunque sigue trabajando en eso.