Lessen van: LastPass' tweede hack (in 1 jaar tijd, door dezelfde dader)

Hack hier, hack daar

Het toen bekend geworden security-incident - nummer één, zoals later zou blijken - lag op dat moment zo'n twee weken in het verleden. Rond dezelfde tijd dat LastPass z'n hack onthulde en gebruikers vertelde dat ze hun wachtwoorden niet hoefden te resetten, speelde er een geslaagde aanval elders. Bij Plex, maker van de gelijknamige software voor het streamen van audio en video.

Bij dat bedrijf is afgelopen zomer ook een digitale inbraak gepleegd. Waarna Plex zijn gebruikers het dringende advies gaf om hun wachtwoorden te wijzigen. Want, zo liet het hackslachtoffer weten, de aanvaller was erin geslaagd om toegang te krijgen tot "een beperkte subset aan data". In die buit bevonden zich e-mails, gebruikersnamen en versleutelde wachtwoorden. Dit dus van Plex-gebruikers en hun accounts.

Topingenieur Schuyler Ullman van Plex heeft TechCrunch toen verteld dat de wachtwoorden voor gebruikersaccounts zijn gehashed met het bcrypt-algoritme, dat als krachtig wordt gezien. Verder zijn die accountgegevens nog verder beveiligd met cryptografische bewerkingen als salting en peppering. Kraken daarvan zou dus moeilijk, zeer moeilijk of praktisch ondoenbaar moeten zijn. Toch was het raadzaam voor Plex-gebruikers om hun wachtwoorden te veranderen. Voor de zekerheid.

Lijntjes verbinden

De link tussen Plex en LastPass gaat verder dan het feit dat ze afgelopen zomer allebei zijn gehackt, en dat ze tegengesteld wachtwoordadvies gaven. LastPass had toen nog geen indicatie dat wachtwoorden van gebruikers konden zijn gecompromitteerd. Integendeel, de inbraak die op 12 augustus is ontdekt, zat in de cloud-gebaseerde ontwikkelomgeving van het bedrijf. Daar voeren de developers van de wachtwoordmanager hun pre-productiewerk uit voor ontwikkeling, integratie, testen en validatie.

Het toen uitgevoerde onderzoek wees uit dat het account van een eigen software-ontwikkelaar was misbruikt om rond te snuffelen in de online-middelen voor development. "Het werd al gauw duidelijk dat de bedrijfslaptop van de software-ingenieur was gecompromitteerd om toegang toe te staan tot resources waar de ingenieur legitiem toegang toe verkreeg", aldus LastPass in zijn uitgebreide uitleg over security-incident één.

De dag erna is securituspecialist Mandiant in de arm genomen en is gededuceerd dat de aanvaller is begonnen op 8 augustus 2022. En dat diens activiteiten hebben gelopen tot 12 augustus. Tenminste, zo leek het toen. We weten inmiddels beter. De aanvaller die in de zomer is ontdekt en afgeweerd, heeft zich namelijk niet laten ontmoedigen.

Aanvaller koos andere aanpak

Nadat de initiële inbraak aan het licht is gekomen en is afgekapt door LastPass heeft de aanvaller een reeks aan andere handelingen ondernomen. Daaronder verdere verkenning van de verdediging, maar ook data-exfiltratie uit de cloud-opslag van de wachtwoordmanager. Dit malafide werk heeft gelopen van 12 augustus tot 26 oktober, vertelt LastPass over security-incident twee.

"Het tweede incident zag de threat actor snel gebruik maken van informatie die was geëxfiltreerd tijdens het eerste incident", legt het gehackte bedrijf uit. Dat buitmaken van later nuttig misbruikte informatie was dus voordat de securityteams van LastPass de inbreker de pas hadden afgesneden. Uiteindelijk heeft de aanvaller dus toegang gekregen tot de versleutelde bedrijfskluis van LastPass, waar slechts vier topdevelopers toegang toe hadden.

Eén van die vier software-ingenieurs is namelijk gericht op de korrel genomen, door mediasoftware bij die persoon thuis te hacken. LastPass geeft zelf geen namen, maar ingewijden hebben aan de media laten weten dat de door LastPass genoemde "third-party media software package" dus Plex is. De privécomputer met Plex is gepakt met remote-code execution (RCE) waarna er een keylogger is geplant.

Daarmee is het hoofdwachtwoord van de developer onderschept, toen die dat invoerde nadat die werknemer zich had geauthenticeerd met multifactor-authenticatie (MFA). Dat hoofdwachtwoord was voor de bedrijfskluis van die ene topdeveloper, waarin encryptiesleutels waren opgeslagen voor toegang tot cloud-omgevingen die LastPass gebruikt. Daaronder backups van productiesystemen en andere cloud-opslag, wat ook "enkele gerelateerde kritieke database-backups" omvat.

Maatregelen, te nemen

In reactie heeft LastPass toen een reeks aan maatregelen genomen, die het dus deelt met de wereld. Hierbij eerst, bijgestaan door Mandiant, het maken van forensische images van getroffen en mogelijk betrokken systemen om die te kunnen onderzoeken. Dat waren dus zowel bedrijfssystemen als ook persoonlijke computers en apparaten.

Maar behalve onderzoeken is er natuurlijk ook gewerkt aan versterken van de beveiliging, om herhaling te voorkomen. Zo heeft werkgever LastPass de gehackte DevOps-ingenieur bijgestaan om de beveiliging van diens thuisnetwerk en persoonlijke apparaten te verbeteren. Daarnaast is de inzet van MFA 'opgevoerd', door toen net beschikbaar gekomen voorwaardelijke PIN-toegang van Microsoft Authenticator in te schakelen.

Verder zijn inlogreferenties (credentials) met kritieke en met hoge privileges 'geroteerd', ofwel gewijzigd en dat met enige mate van regelmaat. Allereerst zijn natuurlijk de inloggegevens aangepast die bekend waren bij de aanvaller. Daarnaast zijn nog andere inlogs (ook met lagere privileges) meegenomen in de nieuwe routine, voor de zekerheid dus. En deze roulatie moet voortaan een vaste procedure zijn, zodat eens buitgemaakte credentials niet lang bruikbaar blijven.

Soort lenteschoonmaak

Vanzelfsprekend zijn gecompromitteerde certificaten ingetrokken en vervangen door nieuw uitgegeven certificaten. LastPass heeft zijn AWS S3-cloudopslag geanalyseerd en is daarna aanvullende hardeningsmaatregelen gaan toepassen. Het kritisch doornemen en verstevigen van systemen is eigenlijk een onderneming die vaste prik zou moeten zijn.

De cloudomgevingen, die dus voor de bijl zijn gegaan, zijn ook voorzien van aanvullende loggings- en alarmeringsmaatregelen. De IAM-regels (policies voor Identity & Access Management) zijn strikter ingesteld en voorgaande IAM-gebruikersaccounts van developers zijn geactiveerd. Hetzelfde is gedaan voor oude service-accounts in het IAM-systeem, zowel voor development als voor productie. Het opruimen van oude, verlopen accounts en configuraties kan natuurlijk ook nooit kwaad. Mits zeker is dat die oud en niet langer gebruikt zijn.

Voor het gebruikte IAM-systeem zijn ook de sleutels 'geroteerd', zijn striktere beperkingen voor IP-adressen toegepast, en zijn de regels opnieuw ingesteld om voortaan uit te gaan van de minst nodige rechten (least privilege).

Keuren, bewaken, reageren

Kritische keuring is ook uitgevoerd op certificaten voor SAML (Security Assertion Markup Language), gebruikt voor het uitwisselen van authenticatie- en autorisatiegegevens. Oudere en verouderde SAML-certificaten zijn gewist. Dit geldt voor development, voor services en voor externe partijen. Kritieke SAML-certificaten voor interne én externe diensten zijn onderworpen aan de nieuwe standaard van 'rotatie', dus wijziging en afwisseling.

Bovenop dit alles - en nog enkele maatregelen meer, die LastPass netjes opsomt in zijn blogpost - heeft het gehackte bedrijf zijn 24x7 detectie van dreigingen, plus zijn reactie daarop, herzien. Die security is aangevuld met beheerde én geautomatiseerde diensten, waardoor afwijkend gedrag eerder en beter gezien moet worden. Daardoor moet dan eerder alarm worden geslagen en beter, gerichter worden geëscaleerd qua response. Tot slot heeft LastPass een eigen analytics-oplossing ontwikkeld om misbruik van AWS-resources te kunnen detecteren.

Aan de slag

Niet alle genomen maatregelen zijn voor iedere organisatie - techleverancier of tech-afnemer - te realiseren. Maar veel zijn zeker mogelijk en eigenlijk zelfs allang noodzakelijk. Om het gewone bedrijven wat makkelijker te maken, is LastPass op 1 maart 2023 nog gekomen met een aanvullende blogpost. Daarin zet het op een rijtje wat er precies is gebeurd, wat het heeft gedaan en wat gebruikers zouden moeten doen om zichzelf (en hun organisaties) te beschermen. Daarmee kunnen LastPass-gebruikers nu aan de slag.