León Neal | imágenes falsas
LastPass, que ya estaba dolido por una brecha que puso datos de inicio de sesión parcialmente encriptados en manos de un actor de amenazas, dijo el lunes que el mismo atacante pirateó la computadora de la casa de un empleado y obtuvo una bóveda sin encriptar disponible solo para un puñado de desarrolladores de la compañía.
Aunque una intrusión inicial en LastPass finalizó el 12 de agosto, los funcionarios del administrador de contraseñas líder dicho el actor de amenazas “participó activamente en una nueva serie de actividades de reconocimiento, enumeración y exfiltración” del 12 al 26 de agosto. En el proceso, el actor de amenazas desconocido pudo robar credenciales válidas de un ingeniero senior de DevOps y acceder a los contenidos. de una bóveda de datos de LastPass. Entre otras cosas, la bóveda dio acceso a un entorno de almacenamiento en la nube compartido que contenía las claves de cifrado para las copias de seguridad de la bóveda del cliente almacenadas en Cubos de Amazon S3
Cae otro bombazo
“Esto se logró apuntando a la computadora de la casa del ingeniero de DevOps y explotando un paquete de software de medios de terceros vulnerable, que permitió la capacidad de ejecución remota de código y permitió que el actor de amenazas implantara malware keylogger”, escribieron los funcionarios de LastPass. “El actor de amenazas pudo capturar la contraseña maestra del empleado tal como se ingresó, después de que el empleado se autenticó con MFA, y obtuvo acceso a la bóveda corporativa de LastPass del ingeniero de DevOps”.
El ingeniero de DevOps pirateado era uno de los cuatro empleados de LastPass con acceso a la bóveda corporativa. Una vez en posesión de la bóveda descifrada, el actor de amenazas exportó las entradas, incluidas las “claves de descifrado necesarias para acceder a las copias de seguridad de producción de AWS S3 LastPass, otros recursos de almacenamiento basados en la nube y algunas copias de seguridad de bases de datos críticas relacionadas”.
La actualización del lunes se produce dos meses después de que LastPass emitiera una actualización bomba anterior que, por primera vez, decía que, contrariamente a las afirmaciones anteriores, los atacantes habían obtenido datos de la bóveda del cliente que contenían datos cifrados y de texto sin formato. LastPass dijo entonces que el actor de amenazas también había obtenido una clave de acceso al almacenamiento en la nube y claves de descifrado del contenedor de almacenamiento dual, lo que permitía copiar los datos de copia de seguridad de la bóveda del cliente desde el contenedor de almacenamiento cifrado.
Los datos de la copia de seguridad contenían datos sin cifrar, como URL de sitios web, así como nombres de usuario y contraseñas de sitios web, notas seguras y datos rellenados en formularios, que tenían una capa adicional de cifrado con AES de 256 bits. Los nuevos detalles explican cómo el actor de amenazas obtuvo las claves de cifrado S3.
La actualización del lunes decía que las tácticas, técnicas y procedimientos utilizados en el primer incidente eran diferentes de los utilizados en el segundo y que, como resultado, inicialmente no estaba claro para los investigadores que los dos estuvieran directamente relacionados. Durante el segundo incidente, el actor de amenazas usó la información obtenida durante el primero para enumerar y filtrar los datos almacenados en los cubos S3.
“Se habilitaron las alertas y el registro durante estos eventos, pero no indicaron de inmediato el comportamiento anómalo que se hizo más claro en retrospectiva durante la investigación”, escribieron los funcionarios de LastPass. “Específicamente, el actor de amenazas pudo aprovechar las credenciales válidas robadas de un ingeniero senior de DevOps para acceder a un entorno de almacenamiento en la nube compartido, lo que inicialmente dificultó a los investigadores diferenciar entre la actividad del actor de amenazas y la actividad legítima en curso”.
LastPass se enteró del segundo incidente a partir de las advertencias de Amazon sobre un comportamiento anómalo cuando el actor de amenazas intentó usar los roles de Cloud Identity and Access Management (IAM) para realizar actividades no autorizadas.
Según una persona informada sobre un informe privado de LastPass y que habló bajo condición de anonimato, el paquete de software de medios que se explotó en la computadora de la casa del empleado era Plex. Curiosamente, Plex informó sobre su propia intrusión en la red el 24 de agosto, solo 12 días después de que comenzara el segundo incidente. La violación permitió al actor de amenazas acceder a una base de datos propietaria y hacerse con datos de contraseñas, nombres de usuario y correos electrónicos pertenecientes a algunos de sus 30 millones de clientes. Plex es un importante proveedor de servicios de transmisión de medios que permite a los usuarios transmitir películas y audio, jugar juegos y acceder a su propio contenido alojado en servidores de medios domésticos o locales.
Los representantes de LastPass y Plex no respondieron de inmediato a los correos electrónicos en busca de comentarios para esta historia.
El actor de amenazas detrás de la violación de LastPass ha demostrado ser especialmente ingenioso, y la revelación de que explotó con éxito una vulnerabilidad de software en la computadora de la casa de un empleado refuerza aún más esa opinión. Como aconsejó Ars en diciembre, todos los usuarios de LastPass deben cambiar sus contraseñas maestras y todas las contraseñas almacenadas en sus bóvedas. Si bien no está claro si el actor de la amenaza tiene acceso a alguno de ellos, las precauciones están justificadas.