De Hispasec – Una al Día: Vulnerabilidad en LastPass podía permitir el acceso a contraseñas de forma remota (28/07/2016)

Vulnerabilidad en LastPass podía permitir el acceso a contraseñas de forma remota

jueves, 28 de julio de 2016

Cada vez estamos más conectados en internet, tenemos más dispositivos y queremos tener todo en cualquier lugar y en cualquier momento. La nube, intenta hacer que esto pueda ser posible, y aunque a nivel funcional queda muy bonito, no es oro todo lo que reluce, y esta vez le ha tocado la china a LastPass, demostrando que tener nuestras contraseñas guardadas en la red puede ser de los peores hábitos para mantener nuestra privacidad.

lastpassLastPass es un gestor de contraseñas, un programa que permite gestionar y mantener tus contraseñas de forma segura, y permite hacerlo de forma remota. Para esto utiliza el sistema AES-256 con cifrado PBKDF2 SHA-256 y hashes con salt.

El conocido investigador de seguridad Tavis Ormandy (@tavido) del equipo Project-Zero de Google, ha sido quien ha encontrado esta vulnerabilidad y se ha puesto en contacto con LastPass con los detalles de la vulnerabilidad para que pueda ser subsanada.

Tavis Ormandy

El error se debe a un error en el diseño de la comunicación entre los componentes con privilegios y sin privilegios. Esto permite que los manejadores de eventos de los componentes creen componentes iframe con privilegios. Si se modifica el parámetro url de estos iframe, un componente será el encargado de lanzar un mensaje para ver si el destino es seguro o no, pero gracias a la captura del evento MouseEvent() a través de Javascript estos mensajes podrán llegar a ser legítimos.

Tavis, además ha confirmado que hizo una demostración rápida en la cual conseguía de forma remota (RPC) eliminar ficheros. También ha publicado una lista completa de los componentes a los que se pueden acceder de forma remota.

Tavis Ormandy2

El problema ha sido confirmado por el equipo de LastPass, si bien igualmente afirman que solo afecta a la extensión para FireFox. También añaden que ya ha sido totalmente corregido con una actualización automática para todos los usuarios de LastPass 4.0 o posterior.

El equipo de LastPass aprovecha también para comentar un problema comunicado de forma responsable hace más de un año, por el investigador Mathias Karlsson (@avlidienbrunn), y que igualmente fue corregido en su momento.

Mathias Karlsson

Karlsson ha publicado recientemente un aviso con sus descubrimientos, en relación a un problema en el tratamiento de URLs y que también podría permitir el acceso a todas las contraseñas con solo visitar una web. En este caso afectaba a todas las versiones de los navegadores que fueron actualizadas sin intervención de los usuarios.

Más información:

Reporte de Tavis

LastPass: design flaw in communication between privileged and unprivileged components

https://bugs.chromium.org/p/project-zero/issues/detail?id=884

LastPass Security Updates

https://blog.lastpass.com/2016/07/lastpass-security-updates.html/

How I made LastPass give me all your passwords

https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/

 

Jose Ignacio Palacios Ortega

jipalacios@hispasec.com

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Brechas de Seguridad, Gestión de Contraseñas, Privacidad, Seguridad, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *