LastPass está intentando corregir una vulnerabilidad muy grave

LastPass está intentando corregir otra vulnerabilidad grave

Los desarrolladores y mantendores de LastPass, el popular gestor de contraseñas, están lidiando en las últimas semanas con una serie de fallos de seguridad importantes que podrían comprometer la seguridad y la privacidad de los usuarios.

Ya se parchearon la semana pasada una serie de fallos de seguridad hallados en LastPass, los cuales fueron descubiertos por Travis Ormandy, un conocido investigador en seguridad que actualmente trabaja en Project Zero de Google. Este investigador ha seguido buscando fallos de seguridad en el mismo software, encontrando recientemente una vulnerabilidad que fue anunciada a través de Twitter, aunque sin revelar aspectos técnicos para impedir su explotación por parte de personas malintencionadas.

Según Ormandy, la vulnerabilidad afecta hasta a la última versión de la extensión de LastPass para todos los navegadores web populares. De momento ha conseguido explotarla en Windows y Linux, aunque no descarta que la misma también pueda ser explotada en Mac. Si el componente binario de la extensión también es instalado, la vulnerabilidad permitiría a un atacante ejecutar código malicioso en una computadora cuando el usuario visita un sitio web malicioso o que esté suplantando a otro. Si el componente mencionado no está instalado, el fallo puede ser igualmente explotado para extraer las contraseñas de la caja fuerte.

Para empeorar las cosas, parece que el simple hecho de tener la extensión instalada ya es suficiente para dejar expuesta la vulnerabilidad, pudiendo ser explotada incluso si el usuario está desconectado de su cuenta, según Ormandy. Sin embargo, esta posibilidad solo dejaría la puerta abierta para ataques en remoto, ya que al estar desconectado, las contraseñas se mantienen cifradas en la caja fuerte y no son accesibles desde un sitio web.

En una publicación en el blog corporativo, los desarrolladores de LastPass han comentado que están “abordando activamente esta vulnerabilidad”, añadiendo que “este ataque es único y muy sofisticado. No queremos desvelar nada específico sobre la vulnerabilidad o nuestra corrección (el parche) que pueda mostrar cualquier cosa a personas menos habilidosas pero igualmente viles”. Por otro lado, la empresa encargada del gestor de contraseñas recomienda a los usuarios utilizar sus contraseñas a través de la característica “lanzar” de la extensión para navegadores, además de habilitar la autenticación en dos pasos y estar atentos a los posibles ataques de phishing.

Ormandy cree que LastPass necesitará de bastante tiempo para solventar el problema, debido a que se trata de “un problema de arquitectura mayor”.

Fuente | CSO Online

Par | 2017-04-12T08:56:09+00:00 avril 12th, 2017|Actualidad, Amenazas, Hacking, LastPass, Privacidad, Seguridad|0 commentaire

Laisser un commentaire