Já sofrendo com uma violação que roubou os cofres dos clientes, o LastPass tem mais más notícias.
Já sofrendo com uma violação que colocou dados de login parcialmente criptografados nas mãos de um agente de ameaças, o LastPass disse na segunda-feira que o mesmo invasor invadiu o computador doméstico de um funcionário e obteve um cofre descriptografado disponível apenas para alguns desenvolvedores da empresa.
Embora uma invasão inicial no LastPass tenha terminado em 12 de agosto, funcionários do principal gerenciador de senhas disseram que o agente da ameaça “estava ativamente envolvido em uma nova série de atividades de reconhecimento, enumeração e exfiltração” de 12 a 26 de agosto. agente de ameaça desconhecido conseguiu roubar credenciais válidas de um engenheiro sênior de DevOps e acessar o conteúdo de um cofre de dados do LastPass. Entre outras coisas, o cofre deu acesso a um ambiente de armazenamento em nuvem compartilhado que continha as chaves de criptografia para backups de cofres de clientes armazenados em baldes do Amazon S3.
Outra bomba cai
“Isso foi conseguido visando o computador doméstico do engenheiro de DevOps e explorando um pacote de software de mídia de terceiros vulnerável, que permitiu a capacidade de execução remota de código e permitiu que o agente da ameaça implantasse malware keylogger”, escreveram os funcionários do LastPass. “O agente da ameaça conseguiu capturar a senha mestra do funcionário conforme ela foi inserida, após a autenticação do funcionário com MFA, e obter acesso ao cofre corporativo LastPass do engenheiro de DevOps.”
O engenheiro de DevOps hackeado era um dos apenas quatro funcionários do LastPass com acesso ao cofre corporativo. Uma vez de posse do cofre descriptografado, o agente da ameaça exportou as entradas, incluindo as “chaves de descriptografia necessárias para acessar os backups de produção do AWS S3 LastPass, outros recursos de armazenamento baseados em nuvem e alguns backups de banco de dados críticos relacionados”.
A atualização de segunda-feira ocorre dois meses depois que o LastPass divulgou uma atualização bombástica anterior que, pela primeira vez, disse que, ao contrário das afirmações anteriores, os invasores obtiveram dados do cofre do cliente contendo dados criptografados e em texto simples. O LastPass disse então que o agente da ameaça também obteve uma chave de acesso ao armazenamento em nuvem e chaves de descriptografia de contêiner de armazenamento duplo, permitindo a cópia dos dados de backup do cofre do cliente do contêiner de armazenamento criptografado.
Os dados de backup continham dados não criptografados, como URLs de sites, bem como nomes de usuário e senhas de sites, notas seguras e dados preenchidos em formulários, que tinham uma camada adicional de criptografia usando AES de 256 bits. Os novos detalhes explicam como o agente da ameaça obteve as chaves de criptografia S3.
A atualização de segunda-feira dizia que as táticas, técnicas e procedimentos usados no primeiro incidente eram diferentes dos usados no segundo e que, como resultado, inicialmente não estava claro para os investigadores que os dois estavam diretamente relacionados. Durante o segundo incidente, o agente da ameaça usou as informações obtidas durante o primeiro para enumerar e exfiltrar os dados armazenados nos depósitos do S3.
“O alerta e o registro foram ativados durante esses eventos, mas não indicaram imediatamente o comportamento anômalo que ficou mais claro em retrospecto durante a investigação”, escreveram os funcionários do LastPass. “Especificamente, o agente da ameaça conseguiu aproveitar as credenciais válidas roubadas de um engenheiro sênior de DevOps para acessar um ambiente de armazenamento em nuvem compartilhado, o que inicialmente dificultou para os investigadores diferenciar entre a atividade do agente da ameaça e a atividade legítima em andamento.”
O LastPass soube do segundo incidente com os avisos da Amazon sobre comportamento anômalo, quando o agente da ameaça tentou usar as funções do Cloud Identity and Access Management (IAM) para realizar atividades não autorizadas.
De acordo com uma pessoa informada em um relatório privado do LastPass, que falou sob condição de anonimato, o pacote de software de mídia que foi explorado no computador doméstico do funcionário era o Plex. Curiosamente, o Plex relatou sua própria invasão de rede em 24 de agosto, apenas 12 dias após o início do segundo incidente. A violação permitiu que o agente da ameaça acessasse um banco de dados proprietário e roubasse dados de senha, nomes de usuário e e-mails pertencentes a alguns de seus 30 milhões de clientes. A Plex é uma importante provedora de serviços de streaming de mídia que permite aos usuários transmitir filmes e áudio, jogar e acessar seu próprio conteúdo hospedado em servidores de mídia domésticos ou locais.
Não está claro se a violação do Plex tem alguma conexão com as invasões do LastPass. Representantes do LastPass e Plex não responderam aos e-mails solicitando comentários para esta história.
O agente da ameaça por trás da violação do LastPass provou ser especialmente engenhoso, e a revelação de que explorou com sucesso uma vulnerabilidade de software no computador doméstico de um funcionário reforça ainda mais essa visão. Como Ars aconselhou em dezembro, todos os usuários do LastPass devem alterar suas senhas mestras e todas as senhas armazenadas em seus cofres. Embora não esteja claro se o agente da ameaça tem acesso a ambos, as precauções são necessárias.