Wir haben die LastPass-Story vor ein paar Wochen zum Abschluss erwähnt, aber Details waren immer noch etwas spärlich. Die Hoffnung war, dass LastPass transparentere Informationen darüber veröffentlichen würde, was passiert ist und auf wie viele Konten zugegriffen wurde. Leider sieht es so aus die Pressemitteilung vom 22. Dezember ist alles, was wir bekommen werden. Für LastPass-Benutzer ist es an der Zeit, einige Entscheidungen zu treffen.

Um es noch einmal zusammenzufassen: Ein Angreifer nutzte Informationen aus der Sicherheitsverletzung vom August 2022, um einen LastPass-Mitarbeiter mit einem Social-Engineering-Trick anzugreifen. Dies gelang und dem Angreifer gelang es, auf LastPass-Backups zuzugreifen, insbesondere auf eine Kundenkontodatenbank und Kundentresore. Es gab kein offizielles Wort darüber, wie viele Benutzerdaten enthalten waren, aber der Hinweis ist, dass es sich um den gesamten Datensatz handelte. Und um das Ganze noch schlimmer zu machen, ist der verschlüsselte Tresor nur teilweise verschlüsselt. Gespeicherte URLs wurden dem Angreifer als Klartext angezeigt, obwohl Benutzernamen und Passwörter immer noch mit Ihrem Master-Passwort verschlüsselt sind.

Was sollte ein LastPass-Benutzer also jetzt tun? Es hängt davon ab, ob. Wir können davon ausgehen, dass derjenige, der die LastPass-Tresordaten hat, derzeit jede verfügbare Passwortliste darauf wirft. Wenn Sie ein schwaches Passwort verwendet haben – abgeleitet von Wörtern in einer beliebigen Sprache oder zuvor kompromittiert – dann ist es an der Zeit, alle Ihre Passwörter zu ändern, die sich im Tresor befanden. Sie sind verbrannt.

Ob Sie bei LastPass bleiben oder zu einer anderen Lösung wechseln, es ist nur eine Frage der Zeit, bis Ihr Tresor geknackt wird. Erschwerend kommt hinzu, dass einige alte Lastpass-Konten nur 5,000 Runden des PBKDF2-Hashings (Password-Based Key Derivation Function) verwenden. Neue Konten sind so eingestellt, dass sie über 100,000 Iterationen verwenden, aber einige ältere Konten könnten immer noch die alte Einstellung verwenden. Das Ergebnis ist, dass ein Angriff auf den verschlüsselten Tresor viel schneller abläuft. Die Anzahl der Iterationen ist mit ziemlicher Sicherheit in den gestohlenen Daten enthalten, daher werden diese Konten wahrscheinlich zuerst getestet. Wenn Sie ein langjähriger Benutzer sind, ändern Sie alle im Tresor gespeicherten Passwörter.

Es gibt gute Neuigkeiten. Die Tresore verwenden ein Salt für die Passwörter – zusätzliche Daten, die in die PBKDF2-Funktion eingebunden werden. Dies bedeutet, dass das Verfahren zum Knacken von Passwörtern für jeden Benutzer einzeln durchgeführt werden muss. Wenn Sie nur ein weiterer uninteressanter Benutzer sind, werden Sie möglicherweise nie zum Ziel von Cracks. Aber wenn Sie interessant sein könnten oder URLs haben, die interessant aussehen, besteht wahrscheinlich eine höhere Wahrscheinlichkeit, dass Sie gezielt angesprochen werden. Und leider waren diese Klartext.

Wie sieht die Mathematik aus? Glück für uns, [Wladimir Palant] ließ die Zahlen für uns laufen. Ein Passwort mit minimaler Komplexität unter Verwendung der Regeln von 2018 für ein LastPass-Passwort ergibt 4.8 × 10 ^ 18 mögliche Passwortkombinationen. Ein RTX 4090 kann bei einem Konto mit nur 1.7 Iterationen von PBKDF5,000 oder 2 Vermutungen pro Sekunde bei einem ordnungsgemäß gesicherten Konto im Bereich von 88,000 Millionen Vermutungen pro Sekunde bleiben. Das sind 44,800 Jahre und 860,000 Jahre, um einen Tresor aufzubrechen, vorausgesetzt, ein RTX4090 arbeitet daran. Einige sehr grobe Mathematik auf die Größe eines Agentur-Rechenzentrums mit drei Buchstaben würde vorschlagen, dass die Widmung der Gesamtheit eines dieser Rechenzentren für die Aufgabe den weniger sicheren Tresor in weniger als 4 Monaten knacken würde. Bei einem Konto mit vollen Sicherheitseinstellungen steigt diese auf fast sechs Jahre. Denken Sie daran, dass dieser Ansatz ein Best-Case-Szenario für einen Angreifer ist und ein Rechenzentrum im Wert von 1.5 Milliarden US-Dollar über einen längeren Zeitraum für diese Aufgabe aufwendet. Es wird jedoch auch davon ausgegangen, dass Sie Ihr Passwort zufällig gewählt haben.

Aber hier ist der Haken: Wenn das Risiko ausreicht, um Sie zum Handeln zu bewegen, reicht es nicht aus, Ihr LastPass-Passwort zu ändern. Unabhängig davon, ob Sie bei LastPass bleiben oder zu einer anderen Lösung wechseln, müssen Sie zuerst das Master-Passwort ändern und dann den anstrengenden Prozess durchlaufen, jedes Passwort in Ihrem LastPass-Vault zu ändern. Dieses ganze Durcheinander war sicherlich ein Versäumnis von LastPass, und ihre Berichterstattung nach Vorfällen lässt sicherlich etwas Transparenz zu wünschen übrig. Unverschlüsselte URLs, die jedem gespeicherten Passwort zugeordnet sind, sind unglücklich. Aber der zentrale Grundsatz, dass nicht einmal LastPass auf Ihre gespeicherten Passwörter zugreifen kann, scheint sich gehalten zu haben.

Bitcoin-Hacker gehackt

Luke Dashjr ist ein Bitcoin Core-Entwickler, der Hauptunterzeichner der Bitcoin Knots-Software und hat eine große Sicherheitslücke erlitten. Dies kann ein Folgeereignis von sein ein körperlicher Angriff im November, wo es jemandem gelang, seinen am selben Standort befindlichen Server von einem Flash-Laufwerk neu zu starten und eine Hintertür zu installieren. Dieser wurde erwischt und die Malware anscheinend entfernt. Luke verlor insgesamt etwa 200 Bitcoin sowohl aus seinen aktiven (heißen) als auch aus seinen offline (kalten) Wallets. Er behandelt dies als totalen Kompromiss und hat davor gewarnt, dass sein PGP-Schlüssel ebenfalls verdächtig sein sollte. Das bedeutet, dass auch die jüngsten Veröffentlichungen von Bitcoin Knots verdächtig sein sollten.

Es wurden mehrere Theorien aufgestellt, von einem „Bootsunfall“ zur Vermeidung einer Steuerpflicht bis hin zu einem bekannten Problem mit der Generierung von Zufallszahlen auf dem von ihm verwendeten Talos-System (CVE-2019-15847). Nichts davon scheint so wahrscheinlich wie die Idee, dass dies ein übersehenes Rootkit auf dem kompromittierten Server war und eine seitliche Bewegung zurück in das Heimnetzwerk von [Luke]. Wie auch immer, es ist ein schreckliches Durcheinander, und wir freuen uns hoffentlich auf eine positive Lösung.

Nächtlicher PyTorch-Kompromiss

Das PyTorch-Nightly-Paket war von einem Abhängigkeitsverwirrungsangriff getroffen, aktiv zwischen dem 25. und 30. Dezember. Das Problem hier ist, dass PyTorch eine torchtriton Paket als Teil seines nächtlichen Repos, und dieser Paketname wurde nicht auf PyPi beansprucht. Also musste nur jemand vorbeikommen und ein Paket unter diesem Namen hochladen, und schwupps, jede neue Pip-Installation von PyTorch-nightly schnappte sich die PyPi-Version. Das bösartige Paket saugt Systemdaten wie aktuelle Nameserver, Hostname, Benutzername, Arbeitsverzeichnis und Umgebungsvariablen auf und sendet diese an h4ck[dot]cfd (Archivlink). Dieses Bit ist nicht so schlimm, obwohl Umgebungsvariablen sicher Authentifizierungstoken enthalten. Der Kicker ist diese Bash-Geschichte, /etc/hosts, /etc/passwd, ~/.gitconfig, ~/.ssh, und die ersten 1000 Dateien im Home-Verzeichnis sind alle verpackt und ebenfalls hochgeladen. Auf einem modernen System ist die passwd Datei enthält eigentlich keine Passwort-Hashes, aber die .ssh Ordner kann sehr wohl private SSH-Schlüssel enthalten. Huch.

Jetzt, der Entwickler hinter diesem gefälschten Paket wurde gefunden, und behauptet, dass dies als Sicherheitsforschung gedacht war, und verspricht, dass alle Daten gelöscht werden. Die gestohlenen Daten dienten angeblich dazu, das Opfer eindeutig zu identifizieren, vermutlich um Bug-Bounties zu sammeln. Dies hat ein gewisses Maß an Glaubwürdigkeit, spielt aber wirklich keine Rolle, da alle Geheimnisse, die bei diesem Vorfall durchgesickert sind, trotzdem widerrufen werden müssen. Der Silberstreif am Horizont ist, dass durch die einfache Installation des Pakets kein bösartiger Code ausgeführt wird, sondern ein Python-Skript dies explizit tun müsste import triton um die Payload auszulösen. Das PyTorch-Projekt hat das Paket umbenannt in pytorch-triton, und reservierte diesen Projektnamen auf PyPi, um einen wiederholten Vorfall zu vermeiden.

Zuordnen anfälliger Citrix-Installationen

In Citrix ADC und Citrix Gateway wurden kürzlich einige kritische Schwachstellen behoben, von denen eine eine Benachrichtigung der NSA auslöste, dass ein APT (Advanced Persistent Threat) aktiv Systeme mit dem Fehler kompromittiert. Die festen Versionsnummern sind bekannt, und das hat die Forscher von Fox It, Teil der NCC Group, verwundert. Gibt es eine Möglichkeit, die Release-Version zu ermitteln eines Citrix-Geräts aus der HTTP-Antwort vor der Authentifizierung? Spoiler: Gibt es. Der /vpn/index.html endpoint enthält einen Hash, der zwischen den Release-Versionen zu variieren scheint. Der einzige verbleibende Trick bestand darin, einen schnellen Weg zu finden, den Hash wieder der Version zuzuordnen.

Betreten Sie den Cloud Marketplace von Google, der eine Ein-Klick-Option zum Hochfahren einer neuen virtuellen Citrix-Maschine bietet. Eine SSH-Sitzung bestätigte später die Version und den entsprechenden Hash. Das ist eins runter. Ebenfalls Teil des Google-Dienstes ist eine ZIP-Datei, die Informationen zu älteren Versionen enthält, einschließlich Bildnamen, die zum Herunterladen früherer Versionen als verwendet werden können qcow2 virtuelles Disk-Image – einfach genug, um den Hash und die Versionsnummer von dort abzurufen. Zwischen diesen Bildern und der Download-Seite von Citrix wurden einige der bekannten Hashes identifiziert, aber seltsamerweise wurden einige Hashes in freier Wildbahn beobachtet, die nicht mit einer bekannten Version übereinzustimmen schienen. Durch die Suche nach einer bestimmten schreibgeschützten Datei, auf die auch aus der Ferne zugegriffen werden kann, ist es möglich, einen genauen Zeitstempel zu erhalten, wann eine bestimmte Firmware erstellt wurde. Das füllt die Lücken in den bekannten Versionsnummern und lässt sie genau aufzeichnen, welche Versionen in freier Wildbahn aufgetaucht sind.

Da der Hash Teil der Daten war, die von Scan-Diensten wie Shodan gesammelt wurden, ist es möglich, den Verlauf der installierten Versionen sowie den aktuellen Status einzusehen. Es gibt eine sehr auffällige Änderung in den bereitgestellten Versionen, die gut der NSA-Warnung entspricht. Selbst dann gibt es viele bereitgestellte Citrix-Server, auf denen immer noch anfällige Firmware ausgeführt wird, obwohl die Details der Bereitstellung möglicherweise bedeuten, dass sie nicht in unmittelbarer Gefahr sind. Es ist ein sehr interessanter Blick darauf, wie wir zu solchen Statistiken kommen.

Bits und Bytes

VPN-Server von Synology hat eine kritische Schwachstelle, CVE-2022-43931, das einen CVSS-Wert von 10 erzielt und es einem nicht authentifizierten Angreifer ermöglicht, beliebige Befehle auszuführen. Gepatchte Versionen sind verfügbar. Der Fehler selbst ist ein unzulässiger Schreibvorgang im Remotedesktopdienst, daher besteht Hoffnung, dass dieser anfällige Dienst nicht weitläufig dem offenen Internet ausgesetzt ist.

Hier ist der Exploit, von dem Sie nicht wussten, dass Sie ihn brauchen, Ausbruch aus dem Lua-Interpreter, um Shellcode zu erhalten Ausführung. Der Trick hier besteht darin, Shellcode als Zahlen zu codieren und dann die Laufzeitumgebung zu einem nicht ausgerichteten Zugriff zu verleiten, wodurch die Programmausführung in die Daten springt. Ein weiterer lustiger Trick ist, dass der Ziel-Lua-Interpreter Sie Lua-Bytecode ausführen lässt und ihm genauso vertraut wie normalem Lua-Code. Also, was ist der Zweck von all dem? Manchmal liegt der Spaß in der Reise.

Was bekommen Sie, wenn gelangweilte Sicherheitsforscher sich entscheiden, in der mobilen App für Elektroroller herumzustochern? Viele geheimnisvoll hupende und blinkende Roller. Und wenn dieselben Forscher den Einsatz erhöhen und versuchen, Autos zum Hupen zu bringen? Eine wirklich beeindruckende Liste von Remote-Schwachstellen in Fahrzeugen aller Marken. Von der Live-GPS-Verfolgung über das Einschalten von Lichtern, das Entriegeln von Türen bis hin zum ferngesteuerten Starten von Fahrzeugen – [Sam Curry] und seine Gruppe fröhlicher Hacker haben es möglich gemacht. Zur Ehre der vielen betroffenen Anbieter endet so ziemlich jede Schwachstelle mit „sie haben es sofort behoben“.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://hackaday.com/2023/01/06/this-week-in-security-lastpass-takeaway-bitcoin-loss-and-pytorch/