27 jul. 2016

Zero Day en LastPass (Actualizado)

El investigador de Google Project Zero, Tavis Ormandy ha encontrado una vulnerabilidad 0-Day en el administrador de contraseñas LastPass que puede ser desencadenada por los mismos usuarios al visitar un sitio malicioso, permitiendo a los atacantes comprometer la cuenta de los usuarios y toda su información sensible.

Aparte de ese fallo, también encontró "un montón de problemas críticos evidentes", pero responsable eligió no compartir públicamente más detalles sobre cualquiera de los defectos hasta que los desarrolladores tengan la oportunidad de solucionarlos.

El informe completo sobre los errores fue enviado a LastPass, y ahora queda por ver si son rápidos para corregir los agujeros de seguridad. Por ahora no hay noticia de ataques in-the-wild explotando algunas de las fallas.

LastPass fue adquirida por LogMeIn en 2015 y los comentarios indicaron que muchos estaban procupados por esta adquisición y por la seguridad de los usuarios y eso los llevaría a alejarse de LastPass y no confíar en un servicio que almacena las contraseñas en la nube

Muchos usuarios utilizan 1Password como su gestor de contraseñas y Ormandy prometió que iba a analizarlos junto con Enpass, KeePass, PasswordSafe y Dashlane Password Manager. Aquí se puede ver una evaluación de los gestores de contraseñas.

Actualización de LastPass

El primer problema de seguridad lo encontró hace aproximadamente un año el investigador Matthias Karlsson y publicó recientemente la historia. El error se encontraba en el parse de la URL que LastPass añade mediante la extensión de navegador. Este error permitía engañar al sistema, haciéndole creer que estaba en otra web y extrayendo los datos de acceso a ésta. Así, por ejemplo, uno podía visitar una web cualquiera, y hacer uso de este fallo de seguridad para obtener la contraseña de Twitter, Facebook y otros servicios online. El agujero de seguridad se solucionó en menos de un día, y Karlsson recibió una compensación de 1.000 dólares como parte del programa Bug Bounty de LastPass.

El fallo de seguridad denunciado por Ormandy, del que podemos leer más detalles en un comunicado de la propia compañía. En este caso se podía ejecutar acciones de LastPass en segundo plano sin conocimiento del usuario. Este fallo ha sido solucionado también, mediante una actualización de la extensión de Firefox. Si utilizas este navegador y LastPass 4.0, asegúrate de actualizar a la versión 4.1.21a. Si usas alguna versión anterior, este problema de seguridad no te afecta.

Fuente: HelpNetSecurity | Genbeta

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!