Ya se parchearon la semana pasada una serie de fallos de seguridad hallados en LastPass, los cuales fueron descubiertos por Travis Ormandy, un conocido investigador en seguridad que actualmente trabaja en Project Zero de Google. Este investigador ha seguido buscando fallos de seguridad en el mismo software, encontrando recientemente una vulnerabilidad que fue anunciada a través de Twitter, aunque sin revelar aspectos técnicos para impedir su explotación por parte de personas malintencionadas.

Según Ormandy, la vulnerabilidad afecta hasta a la última versión de la extensión de LastPass para todos los navegadores web populares. De momento ha conseguido explotarla en Windows y Linux, aunque no descarta que la misma también pueda ser explotada en Mac. Si el componente binario de la extensión también es instalado, la vulnerabilidad permitiría a un atacante ejecutar código malicioso en una computadora cuando el usuario visita un sitio web malicioso o que esté suplantando a otro. Si el componente mencionado no está instalado, el fallo puede ser igualmente explotado para extraer las contraseñas de la caja fuerte.

Para empeorar las cosas, parece que el simple hecho de tener la extensión instalada ya es suficiente para dejar expuesta la vulnerabilidad, pudiendo ser explotada incluso si el usuario está desconectado de su cuenta, según Ormandy. Sin embargo, esta posibilidad solo dejaría la puerta abierta para ataques en remoto, ya que al estar desconectado, las contraseñas se mantienen cifradas en la caja fuerte y no son accesibles desde un sitio web.

En una publicación en el blog corporativo, los desarrolladores de LastPass han comentado que están “abordando activamente esta vulnerabilidad”, añadiendo que “este ataque es único y muy sofisticado. No queremos desvelar nada específico sobre la vulnerabilidad o nuestra corrección (el parche) que pueda mostrar cualquier cosa a personas menos habilidosas pero igualmente viles”. Por otro lado, la empresa encargada del gestor de contraseñas recomienda a los usuarios utilizar sus contraseñas a través de la característica “lanzar” de la extensión para navegadores, además de habilitar la autenticación en dos pasos y estar atentos a los posibles ataques de phishing.

Ormandy cree que LastPass necesitará de bastante tiempo para solventar el problema, debido a que se trata de “un problema de arquitectura mayor”.

 

Fuente: CSO Online | muyseguridad