De LastPass-hack van afgelopen november maakte gebruik van een kwetsbaarheid in Plex die in mei 2020 al was gedicht, ontdekte PCMag. De hack had voorkomen kunnen worden als de werknemer, op wiens thuiscomputer de malware werd geïnstalleerd, de software had geüpdatet.
Het gaat om de CVE-2020-5741-kwetsbaarheid in de software Plex Media Server, schrijft PCMag. Via de Camera Upload-functie was het voor aanvallers mogelijk om de server schadelijke code uit te laten voeren. Daarvoor moesten de kwaadwillenden wel al beheerderstoegang hebben tot het Plex-account van de LastPass-werknemer. Hoe ze daarin slaagden is niet bekend. Nadat de devops-programmeur van LastPass de malware had geïnstalleerd, waren de hackers in staat om de toetsaanslagen van het slachtoffer te registreren en zo achter het masterwachtwoord te komen. De LastPass-werknemer heeft vervolgens wel zelf ook de multifactorauthenticatieaanvraag goedgekeurd.
In een reactie zegt Plex tegen PCMag dat er in mei 2020 een patch voor de kwetsbaarheid was uitgebracht, maar dat de werknemer in kwestie de software nooit geüpgraded heeft. Sindsdien zijn er al 75 nieuwe softwareversies van Plex uitgebracht. Het is onduidelijk waarom de programmeur al die tijd de software niet heeft bijgewerkt, vooral omdat veel van de updates automatisch horen plaats te vinden.
Via deze senior devops-programmeur hebben de aanvallers vorig jaar toegang gekregen tot de cloudback-ups van LastPass, waarin klantgegevens, zoals mfa-seeds en identificeerbare info, stonden, zo maakte LastPass afgelopen week bekend. Ook zijn er vijf blobs gedownload van back-ups van klanten die tussen 20 augustus en 8 september een account hadden. In die blobs zaten ook versleutelde velden voor de wachtwoorden en onversleutelde velden voor bijvoorbeeld url-namen.