{"id":272955,"date":"2022-09-18T00:16:00","date_gmt":"2022-09-17T22:16:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272955"},"modified":"2024-03-18T14:42:06","modified_gmt":"2024-03-18T13:42:06","slug":"lastpass-besttigt-angreifer-hatten-vier-tage-zugriff-auf-interne-systeme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/18\/lastpass-besttigt-angreifer-hatten-vier-tage-zugriff-auf-interne-systeme\/","title":{"rendered":"LastPass best&auml;tigt: Angreifer hatten vier Tage Zugriff auf interne Systeme"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=26592\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die Entwickler des webbasierten Passwortmanager-Online-Diensts LastPass haben diese Woche bekannt gegeben, dass die Angreifer vier Tage Zugriff auf interne Systeme hatten. Erst dann fiel der unbefugte Zugriff auf. Den Angreifern ist es aber wohl nicht gelungen, schreibend auf die Entwicklungsumgebung zuzugreifen und Code der LastPass-Software zu ver\u00e4ndern oder auf sensitive Benutzerdaten zuzugreifen.<\/p>\n<p><!--more--><\/p>\n<h2>Der LastPass-Hack<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/f87140bfe41d4139a326395587eb12cf\" alt=\"\" width=\"1\" height=\"1\" \/>Ende August 2022 informierte der Passwortmanager-Online-Diensts LastPass seine Nutzer, dass unbefugte Dritte Zugriff auf die interne Entwicklungsumgebung hatten. Zwei Wochen vor dieser Meldung hatte das Unternehmen ungew\u00f6hnliche Abl\u00e4ufe in der LastPass-Entwicklungsumgebung festgestellt. Unbefugten Dritten war es wohl gelungen, Zugriff auf Teile der LastPass-Entwicklungsumgebung zu erhalten. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/08\/26\/lastpass-sicherheitsvorfall-entwicklungsumgebung-gehackt-25-august-2022\/\">LastPass Sicherheitsvorfall: Entwicklungsumgebung gehackt (25. August 2022)<\/a> \u00fcber den Vorfall berichtet.<\/p>\n<h2>Weitere Einzelheiten ver\u00f6ffentlicht<\/h2>\n<p>In der Zwischenzeit hat der Online-Diensts LastPass zusammen mit dem Sicherheitsanbieter Mandiant eine detaillierte Untersuchung des Vorfalls durchgef\u00fchrt und zum 15. September 2022 <a href=\"https:\/\/web.archive.org\/web\/20221123120606\/https:\/\/blog.lastpass.com\/2022\/08\/notice-of-recent-security-incident\/\">neue Erkenntnisse<\/a> ver\u00f6ffentlicht.<\/p>\n<h3>Zugriff \u00fcber Entwicklerzugang<\/h3>\n<p>Die Analyse ergab, dass der Bedrohungsakteur \u00fcber den kompromittierten Endpunkt eines Entwicklers Zugriff auf die LastPass-Entwicklungsumgebung erlangte. Obwohl unklar ist, mit welcher Methode der Angreifer anf\u00e4nglich den Entwicklerzugang kompromittieren konnte, scheint sicher zu sein, dass nur dieser Zugang missbraucht wurde. LastPass schreibt, dass der Bedrohungsakteur sich als der Entwickler ausgab, um sich erfolgreich per Multi-Faktor-Authentifizierung anzumelden.<\/p>\n<h3>Nur vier Tage Zugang<\/h3>\n<p>Anschlie\u00dfend verwendete der Angreifer diesen dauerhaften Zugang, um auf das Entwicklungssystem zuzugreifen. Die Untersuchung ergab, dass die Angreifer nur in einem Zeitraum von vier Tagen im August 2022 Zugriff auf die IT-Systeme des Unternehmens hatten. Das LastPass-Sicherheitsteam entdeckte die Aktivit\u00e4ten des Bedrohungsakteurs und konnte den Vorfall anschlie\u00dfend eind\u00e4mmen.<\/p>\n<h3>Keine sensitiven Benutzerdaten abgegriffen<\/h3>\n<p>Es gebe keine Hinweise auf Aktivit\u00e4ten des Bedrohungsakteurs, die \u00fcber den festgelegten Zeitraum hinausgehen, schreibt der Anbieter. Weiterhin wurden keine Hinweise gefunden, dass der Eindringlich einen Zugriff auf Kundendaten oder verschl\u00fcsselte Passwort-Tresore erlangen konnte. \u202fDas wurde wohl\u00a0 durch das System-Design erfolgreich verhindert.<\/p>\n<p>Die LastPass-Entwicklungsumgebung ist physisch von der Produktionsumgebung getrennt und hat keine direkte Verbindung zu dieser. Die Entwicklungsumgebung enth\u00e4lt keine Kundendaten oder verschl\u00fcsselten Tresore.\u00a0 Weiterhin hat LastPass keinen Zugang zu den Master-Passw\u00f6rtern der Tresore seiner Kunden &#8211; ohne das Master-Passwort ist es f\u00fcr niemanden au\u00dfer dem Besitzer eines Tresors m\u00f6glich, die Daten des Tresors zu entschl\u00fcsseln. Das ist Teil des LastPass Zero Knowledge-Sicherheitsmodells.<\/p>\n<h3>LastPass-Code-Integrit\u00e4t sichergestellt<\/h3>\n<p>Eine Frage stand noch im Raum, ob der Code f\u00fcr LastPass eventuell modifiziert werden konnte. Durch die Trennung der Entwicklungs- und Produktionsumgebung konnten die Angreifer nicht auf das Produktionssystem zugreifen.<\/p>\n<p>Um die Integrit\u00e4t des Codes zu \u00fcberpr\u00fcfen, wurde eine Analyse des Quellcodes und der Produktions-Builds durchgef\u00fchrt. Dabei wurden keine Anzeichen f\u00fcr Versuche eines Code-Poisoning oder der Einschleusung von b\u00f6sartigem Code gefunden.<\/p>\n<p>Die Entwickler haben nicht die M\u00f6glichkeit, Quellcode aus der Entwicklungsumgebung in die Produktionsumgebung zu \u00fcbertragen. Diese M\u00f6glichkeit ist auf ein separates Build-Release-Team beschr\u00e4nkt und kann nur nach Abschluss strenger Code\u00fcberpr\u00fcfungs-, Test- und Validierungsprozesse erfolgen. Es sieht so aus, als ob LastPass mit einem \"blauen Auge\" davon gekommen ist. Dazu hat auch das Design der Entwicklungs- und Produktionsumgebungen beigetragen. (<a href=\"https:\/\/web.archive.org\/web\/20221008194910\/https:\/\/www.bleepingcomputer.com\/news\/security\/lastpass-says-hackers-had-internal-access-for-four-days\/\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die Entwickler des webbasierten Passwortmanager-Online-Diensts LastPass haben diese Woche bekannt gegeben, dass die Angreifer vier Tage Zugriff auf interne Systeme hatten. Erst dann fiel der unbefugte Zugriff auf. Den Angreifern ist es aber wohl nicht gelungen, schreibend auf die Entwicklungsumgebung &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/09\/18\/lastpass-besttigt-angreifer-hatten-vier-tage-zugriff-auf-interne-systeme\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-272955","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272955","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272955"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272955\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272955"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272955"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272955"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}