Lundi, LastPass a déclaré lundi que le même attaquant avait piraté l’ordinateur personnel d’un employé et obtenu un coffre-fort déchiffré accessible à une poignée de développeurs d’entreprise.
Bien qu’une première intrusion dans LastPass se soit terminée le 12 août, les responsables du principal gestionnaire de mots de passe ont déclaré que l’acteur menaçant « était activement engagé dans une nouvelle série d’activités de reconnaissance, de dénombrement et d’exfiltration » du 12 au 26 août. Un acteur malveillant inconnu a pu voler des informations d’identification valides à un ingénieur DevOps senior et accéder au contenu d’un coffre-fort de données LastPass. Entre autres choses, le coffre donnait accès à un environnement de stockage cloud partagé qui contenait les clés de chiffrement pour les sauvegardes de coffre client stockées dans des compartiments Amazon S3.
Une autre bombe tombe
« Cela a été accompli en ciblant l’ordinateur personnel de l’ingénieur DevOps et en exploitant un progiciel multimédia tiers vulnérable, qui a permis la capacité d’exécution de code à distance et a permis à l’acteur de la menace d’implanter un logiciel malveillant d’enregistreur de frappe », ont écrit les responsables de LastPass. « L’acteur de la menace a pu capturer le mot de passe principal de l’employé tel qu’il a été saisi, après que l’employé s’est authentifié avec MFA, et accéder au coffre-fort d’entreprise LastPass de l’ingénieur DevOps. »
L’ingénieur DevOps piraté était l’un des quatre seuls employés de LastPass à avoir accès au coffre-fort de l’entreprise. Une fois en possession du coffre-fort déchiffré, l’auteur de la menace a exporté les entrées, y compris les « clés de déchiffrement nécessaires pour accéder aux sauvegardes de production AWS S3 LastPass, à d’autres ressources de stockage basées sur le cloud et à certaines sauvegardes de bases de données critiques associées ».
La mise à jour de lundi intervient deux mois après que LastPass a publié une précédente mise à jour explosive qui indiquait pour la première fois que, contrairement aux affirmations précédentes, les attaquants avaient obtenu des données de coffre-fort client contenant à la fois des données cryptées et en clair. LastPass a alors déclaré que l’acteur de la menace avait également obtenu une clé d’accès au stockage dans le cloud et des clés de déchiffrement du conteneur de stockage double, permettant la copie des données de sauvegarde du coffre-fort du client à partir du conteneur de stockage chiffré.
Les données de sauvegarde contenaient à la fois des données non cryptées, telles que des URL de sites Web, ainsi que des noms d’utilisateur et des mots de passe de sites Web, des notes sécurisées et des données remplies de formulaires, qui avaient une couche supplémentaire de cryptage utilisant AES 256 bits. Les nouveaux détails expliquent comment l’auteur de la menace a obtenu les clés de chiffrement S3.
La mise à jour de lundi indiquait que les tactiques, techniques et procédures utilisées lors du premier incident étaient différentes de celles utilisées lors du second et que, par conséquent, il n’était pas clair au départ pour les enquêteurs que les deux étaient directement liés. Lors du deuxième incident, l’auteur de la menace a utilisé les informations obtenues lors du premier pour énumérer et exfiltrer les données stockées dans les compartiments S3.
« L’alerte et la journalisation ont été activées pendant ces événements, mais n’ont pas immédiatement indiqué le comportement anormal qui est devenu plus clair rétrospectivement au cours de l’enquête », ont écrit les responsables de LastPass. « Plus précisément, l’acteur de la menace a pu tirer parti des informations d’identification valides volées à un ingénieur DevOps senior pour accéder à un environnement de stockage en nuage partagé, ce qui a initialement rendu difficile pour les enquêteurs de faire la différence entre l’activité de l’acteur de la menace et l’activité légitime en cours. »
LastPass a pris connaissance du deuxième incident grâce aux avertissements d’Amazon concernant un comportement anormal lorsque l’auteur de la menace a tenté d’utiliser les rôles Cloud Identity and Access Management (IAM) pour effectuer une activité non autorisée.
Selon une personne informée d’un rapport privé de LastPass qui s’est exprimé sous couvert d’anonymat, le progiciel multimédia exploité sur l’ordinateur personnel de l’employé était Plex. Fait intéressant, Plex a signalé sa propre intrusion dans le réseau le 24 août, 12 jours seulement après le début du deuxième incident. La violation a permis à l’auteur de la menace d’accéder à une base de données propriétaire et de s’emparer des données de mot de passe, des noms d’utilisateur et des e-mails appartenant à certains de ses 30 millions de clients. Plex est un fournisseur majeur de services de streaming multimédia qui permettent aux utilisateurs de diffuser des films et de l’audio, de jouer à des jeux et d’accéder à leur propre contenu hébergé sur des serveurs multimédias domestiques ou sur site.
Il n’est pas clair si la violation Plex a un lien avec les intrusions LastPass. Les représentants de LastPass et Plex n’ont pas répondu aux e-mails demandant des commentaires sur cette histoire.
L’acteur de la menace à l’origine de la violation de LastPass s’est révélé particulièrement ingénieux, et la révélation qu’il a exploité avec succès une vulnérabilité logicielle sur l’ordinateur personnel d’un employé renforce encore ce point de vue. Comme Ars l’a conseillé en décembre, tous les utilisateurs de LastPass doivent changer leurs mots de passe principaux et tous les mots de passe stockés dans leurs coffres-forts. Bien qu’il ne soit pas clair si l’acteur de la menace a accès à l’un ou l’autre, les précautions sont justifiées.
Mise à jour mercredi 1er mars 9h06 : Un jour après la mise en ligne de ce message, un représentant de Plex a écrit dans un e-mail : « Nous n’avons pas été contactés par LastPass, nous ne pouvons donc pas parler des détails de leur incident. Nous prenons les problèmes de sécurité très au sérieux et travaillons fréquemment avec des parties externes qui signalent des problèmes, petits ou grands, en utilisant nos directives et notre programme de primes de bogues. Lorsque des vulnérabilités sont signalées à la suite d’une divulgation responsable, nous les traitons rapidement et de manière approfondie, et nous n’avons jamais publié de vulnérabilité critique pour laquelle il n’y avait pas déjà de version corrigée publiée. Et lorsque nous avons eu nos propres incidents, nous avons toujours choisi de les communiquer rapidement. Nous n’avons connaissance d’aucune vulnérabilité non corrigée et, comme toujours, nous invitons les gens à nous signaler les problèmes en suivant les directives liées ci-dessus. Compte tenu des articles récents sur l’incident de LastPass, bien que nous ne soyons au courant d’aucune vulnérabilité non corrigée, nous avons contacté LastPass pour en être sûrs.