{"id":278343,"date":"2023-02-28T15:01:27","date_gmt":"2023-02-28T14:01:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278343"},"modified":"2023-02-28T17:03:30","modified_gmt":"2023-02-28T16:03:30","slug":"lastpass-hack-ber-privaten-pc-eines-entwicklers","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/28\/lastpass-hack-ber-privaten-pc-eines-entwicklers\/","title":{"rendered":"LastPass-Hack über privaten PC eines Entwicklers"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Anbieter LastPass wurde ja 2022 Opfer eines Hacks, bei dem Angreifer Zugriff auf seine Infrastruktur. Erst hie\u00df es, die Entwicklungsumgebung sei \"nur gehackt worden\". Dann kam schrittweise das Ausma\u00df des Angriffs und eines zweiten Angriffs auf den Cloud-Dienst zur Verwaltung von Passw\u00f6rtern heraus. Nun hat der Anbieter weitere Informationen offen gelegt, wie es zum 2. Hack kommen konnte. Der Angriff gelang wohl \u00fcber einen kompromittierten Privat-PC eines Entwicklers, der als einer von vier Personen Zugriff auf die privaten Schl\u00fcssel des Unternehmens hatte.<\/p>\n

<\/p>\n

Der LastPass-Hack<\/h2>\n

\"\"LastPass ist ein Dienst zur Speicherung seiner Passw\u00f6rter und Zugangsdaten f\u00fcr Online-Konten \u2013 wobei diese Daten in einem Vault genannten Daten-Tresor in der Cloud abgelegt werden. Der Anbieter musste im August 2022 einen Sicherheitsvorfall melden, bei der die Entwicklungsumgebung gehackt wurde (siehe LastPass Sicherheitsvorfall: Entwicklungsumgebung gehackt (25. August 2022)<\/a>). Die Angreifer hatten, so LastPass, vier Tage Zeit, sich im internen IT-Netzwerk umzusehen (siehe Links am Artikelende).<\/p>\n

Im November 2022 wurde bekannt, dass LastPass Kundendaten nach dem Hack eines Cloud-Speicherdiensts entwendet werden konnten. am 20. Dez. 2022 gestand der Anbieter den n\u00e4chsten Sicherheitsvorfall ein. Dem Angreifer war es gelungen, die verschl\u00fcsselte Vault-Datenbank mit den Nutzerdaten abzuziehen (siehe LastPass sagt, dass Hacker die verschl\u00fcsselte Vault Datenbank mit Nutzerdaten abgezogen haben<\/a>). So langsam kommt nur heraus, dass der Hack \u00fcber eine Verkettung unsch\u00f6ner Umst\u00e4nde m\u00f6glich war.<\/p>\n

Neue Erkenntnisse zum Hack<\/h2>\n

In einer neuen Ver\u00f6ffentlichung<\/a> legt LastPass nun offen, wie der Hack gelingen konnte. Die Vermutung, dass mit dem ersten Hack im Augst 2022 Informationen erbeutet wurden, die f\u00fcr den zweiten Angriff benutzt werden konnten, best\u00e4tigt sich. Die Untersuchung ergab, dass der Bedrohungsakteur nach dem ersten Vorfall, der am 12. August 2022 endete, zu einer neuen Reihe von Erkundungs-, Aufz\u00e4hlungs- und Exfiltrationsaktivit\u00e4ten \u00fcberging, die auf die verwendete Cloud-Speicherumgebung ausgerichtet waren und sich vom 12. August 2022 bis zum 26. Oktober 2022 erstreckten.<\/p>\n

Konkret war es so, dass beim ersten Hack verschl\u00fcsselte Zugangsdaten eines LastPass-Mitarbeiters erbeutet wurden. LastPass setzte zwar die Konten zur\u00fcck und aktivierte auch die Protokollierungs- und \u00dcberwachungsfunktionen f\u00fcr Zugriffe. Aber die Angreifer verwendeten nun eine andere Taktik und kompromittierten den privaten PC eines LastPass-DevOps-Entwicklers, um dort einen KeyLogger zu installieren.<\/p>\n

Insgesamt gab es nur vier DevOps-Entwickler bei LastPass, die Zugriff auf einen hochgradig eingeschr\u00e4nkter Satz gemeinsam genutzter Ordner in einem LastPass Passwortmanager-Tresor hatten. Der Ordner wurde von DevOps-Ingenieuren genutzt, um administrative Aufgaben in diesen Umgebungen durchzuf\u00fchren.<\/p>\n

Um den privaten PC des DevOps-Entwickler zu kompromittieren, wurde dessen System durch ein Mediensoftwarepaket eines Drittanbieters ausgenutzt. \u00dcber dieses Paket war eine Remote-Code-Ausf\u00fchrung m\u00f6glicht, so dass ein Keylogger installiert werden konnte. Dadurch war der Angreifer in der Lage, das Master-Passwort des Mitarbeiters bei der Eingabe zu erfassen, und zwar, nachdem sich der Mitarbeiter mit MFA (Zweifaktor-Authentifizierung) authentifiziert hatte. Dadurch erhielt der Angreifer Zugriff auf den LastPass-Unternehmenstresor des DevOps-Ingenieurs.<\/p>\n

Addendum:<\/strong> Gem\u00e4\u00df einem arstechnica<\/a> Artikel, der eine anonyme Quelle zitiert, war das angegriffene Media Software Paket Plex (siehe auch folgende Kommentare). Plex hatte selbst einen Netzwerk-Hack<\/a>, wobei unklar ist, ob es eine Verbindung gibt.<\/p><\/blockquote>\n

Der Bedrohungsakteur exportierte dann die nativen Eintr\u00e4ge des Unternehmenstresors und den Inhalt der freigegebenen Ordner. Diese enthielten die verschl\u00fcsselten sicheren Notizen mit Zugriffs- und Entschl\u00fcsselungsschl\u00fcsseln, die f\u00fcr den Zugriff auf die AWS S3 LastPass-Produktionsbackups, andere Cloud-basierte Speicherressourcen und einige damit verbundene kritische Datenbanksicherungen erforderlich waren. Damit hatten die Angreifer wohl den Jackpot und somit Zugriff auf die AWS S3-Cloud-Strukturen.<\/p>\n

Auf Grund dieses Sachverhalts war es f\u00fcr die Forensik, die durch Mandiant-Spezialisten durchgef\u00fchrt wurden, schwierig, die Details des Hacks nachzuvollziehen. Im aktuellen Beitrag beschreibt LastPass, welche Ma\u00dfnahmen man alles ausgef\u00fchrt habe, um die Sicherheit des Systems zu gew\u00e4hrleisten. Das Problem war aber, dass das Kind bereits beim ersten Hack in den Brunnen gefallen war und dann durch den Hack des privaten PCs des DevOps-Entwicklers erneut ins Wasser geworfen wurde. Brian Krebs schreibt in folgendem Beitrag:<\/p>\n

LastPass hat weitere Details zu den beiden Einbr\u00fcchen im vergangenen Jahr bekannt gegeben, die auf denselben Angreifer zur\u00fcckzuf\u00fchren sind.<\/p>\n

Es gibt hier eine Menge zu entpacken, aber dieses Detail \u00fcber den Angriff auf einen LastPass DevOps-Mitarbeiter auf dessen Heimcomputer ist etwas ern\u00fcchternd.<\/p><\/blockquote>\n

Um dann die Kernaussagen aus obigem Text zu derivieren. H\u00e4tte der DevOps-Entwickler nur einen isolierten PC f\u00fcr den Zugriff auf die LastPass-Cloud-Struktur genutzt und keine weitere Software installiert, w\u00e4re der zweite Hack wohl nicht m\u00f6glich gewesen.<\/p>\n

\"LastPass<\/p>\n

Die Frage f\u00fcr LastPass-Benutzer ist nun, ob die erbeuteten Daten aus dem Passwort-Safe noch sicher sind. Diese liegen in der erbeuteten Datenbank in verschl\u00fcsselter Form vor. Mit der verwendeten Verschl\u00fcsselung (Password-Based Derivation Function 2, PBKDF2) ist dies auf den ersten Blick sehr schwierig, die Verschl\u00fcsselung zu knacken. Aber Sicherheitsforscher wiesen darauf hin<\/a>, dass die Zahl der eingestellten Passwort-Iterationen f\u00fcr PBKDF2 eventuell entscheidend ist.<\/p>\n

LastPass bietet eine Anleitung zur \u00dcberpr\u00fcfung dieser Einstellung und verwendet einen Wert 100.100 als Standardeinstellung. Aber Nutzer berichten, dass sie dort den Wert 5.000 konfiguriert<\/a> haben, manche setzten den Wert auf 500. Es gibt sogar Leute, die dort den Wert 1 f\u00fcr eine Wiederholung vorgegeben haben. Die Konten mit sehr geringen Werten f\u00fcr die PBKDF2 Passwort-Iterationen sind nun dem Risiko ausgesetzt, dass der Kennwort-Safe geknackt wird. Dann w\u00e4ren die Angreifer im Besitz aller Zugangsdaten dieses Benutzers.<\/p>\n

Unter dem Strich ist es ein ziemlicher Schlamassel, der den Anbieter und seine Nutzer getroffen hat. Der Anbieter hat vermeidbare Sicherheitsrisiken in seinen Prozessen geduldet – die Nutzer haben ggf. zus\u00e4tzlich f\u00fcr eine Schw\u00e4chung der Passwort-Verschl\u00fcsselung gesorgt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nLastPass Sicherheitsvorfall: Entwicklungsumgebung gehackt (25. August 2022)<\/a>
\nLastPass best\u00e4tigt: Angreifer hatten vier Tage Zugriff auf interne Systeme<\/a>
\nLastPass-Kundendaten nach Hack eines Cloud-Speicherdiensts abgezogen (Nov. 2022)<\/a>
\nLastPass sagt, dass Hacker die verschl\u00fcsselte Vault Datenbank mit Nutzerdaten abgezogen haben<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Anbieter LastPass wurde ja 2022 Opfer eines Hacks, bei dem Angreifer Zugriff auf seine Infrastruktur. Erst hie\u00df es, die Entwicklungsumgebung sei \"nur gehackt worden\". Dann kam schrittweise das Ausma\u00df des Angriffs und eines zweiten Angriffs auf den Cloud-Dienst zur … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-278343","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278343","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278343"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278343\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278343"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278343"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278343"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}