Global Preloader
Vulnerabilidad
(23/Mar/2017) Defectos de LastPass permiten a los Hackers robar contraseñas

Defectos de LastPass permiten a los Hackers robar contraseñas

Las vulnerabilidades críticas encontradas en las extensiones Chrome y Firefox del gestor de contraseñas LastPass pueden explotarse para robar contraseñas, advirtió el investigador de Google Project Zero, Tavis Ormandy.

El experto ha descubierto varios defectos, pero sólo uno de ellos parece haber sido parcheado por los desarrolladores de LastPass.

Ormandy informó por primera vez que encontró una vulnerabilidad en la versión de Firefox de la extensión LastPass (versión 3.3.2). Los detalles del agujero de seguridad no se han hecho públicos. LastPass, que tiene 90 días para publicar una corrección antes de que los detalles sean revelados por Project Zero, dice que es consciente de la falla y su equipo de seguridad está trabajando en un parche.

We are aware of reports of a Firefox add-on vulnerability. Our security is investigating and working on issuing a fix.

— LastPass (@LastPass) 22 de marzo de 2017

El martes, el investigador del Proyecto Zero informó que encontró otra vulnerabilidad que afectó tanto a las versiones de Chrome como de Firefox de LastPass. La debilidad permitió a un hacker robar las contraseñas de un usuario y, si el componente binario estaba habilitado, ejecutar código arbitrario a través de comandos de llamada de procedimiento remoto (RPC). El ataque podría haber sido llevado a cabo mediante la obtención del usuario objetivo de acceder a una página web especialmente diseñado.

LastPass implementó una mitigación temporal pocas horas después de enterarse de la existencia del defecto, y afirmó que había reparado completamente el problema en el lado del servidor poco después. Los usuarios no están obligados a tomar ninguna acción.

Ormandy ha hecho públicos los detalles de esta vulnerabilidad, incluyendo el código de prueba de concepto (PoC), y LastPass se ha comprometido a publicar un blog propio para proporcionar más información.

Según Ormandy, el defecto existía debido a que el script de contenido websiteConnector.js mandaba mensajes no autenticados a la extensión, dando a un atacante acceso completo a los comandos internos de LastPass RPC (por ejemplo, para copiar o rellenar contraseñas).

Poco después de que LastPass anunciara la solución, el experto dijo en Twitter que identificó otra vulnerabilidad que puede ser explotada para robar contraseñas para cualquier dominio.

Esta no es la única extensión del navegador web analizada por Ormandy. El experto informó previamente que había encontrado fallas en Cisco WebEx, AVG Web TuneUp y una extensión instalada silenciosamente por Adobe con las actualizaciones de Acrobat y Reader.