Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

LastPass exploit permite la ejecución remota de código y el robo de contraseñas

LastPass se anuncia a sí mismo como una forma de simplificar su vida al almacenar todas sus contraseñas y detalles de cuenta en un solo lugar. Sin embargo, ahora parece un poco menos conveniente, ya que el servicio se ocupa de su segunda falla de seguridad importante en otras tantas semanas. LastPass está en proceso de parchear un agujero de seguridad que podría permitir que un atacante ejecute código remoto en su máquina y acceda a sus contraseñas. Realmente, el peor escenario posible que puedas imaginar.

Para los no iniciados, LastPass existe como una extensión del navegador y una aplicación móvil. Cuando configura una cuenta, LastPass lo ayuda a generar contraseñas seguras y almacenar sus inicios de sesión con su bóveda cifrada. También admite perfiles de llenado de formularios para contenido como tarjetas de crédito y direcciones de envío. Si usa LastPass, podría contener las claves de su existencia en línea.

los nuevo exploit en la extensión del navegador fue descubierto por el investigador de Google Project Zero, Tavis Ormandy, quien también encontró el exploit que LastPass se apresuró a parchear la semana pasada. Los dos exploits tienen consecuencias similares, lo que permite que un atacante obtenga acceso a sus datos de LastPass y ejecute código en su máquina sin su conocimiento. Todo lo que necesita hacer es visitar un sitio web malicioso y sus datos podrían ser arrebatados. Es importante destacar que esto solo funcionará si ha iniciado sesión en LastPass. Si ha cerrado sesión, el archivo de datos todavía está cifrado.

Según Ormandy, la falla es más grave cuando un usuario tiene habilitado el componente binario de LastPass. El binario controla algunas de las funciones avanzadas de LastPass, como importar / exportar datos, autenticación de huellas dactilares y archivos adjuntos para notas seguras. Puede que ya lo tengas activado, pero hay formas en que un atacante podría engañarte para que lo habilites de todos modos. Sin el binario, el ataque no puede ejecutar código arbitrario en su máquina. Sin embargo, todavía deja sus contraseñas abiertas.

El exploit fue confirmado por Ormandy en Linux y Windows, pero sospecha que también funcionará en macOS. Básicamente, en cualquier lugar donde se ejecute la extensión del navegador LastPass, la falla está presente. Para ser justos, LastPass se toma la seguridad muy en serio. Lanzó un parche para el último exploit en unos pocos días, y ya respondió al nuevo informe de Ormandy. Describe el ataque como «altamente sofisticado», pero no sabremos con certeza cómo funciona hasta que haya un parche. En ese momento, el método se hará público. Ormandy cree que tomará un tiempo solucionar esta vulnerabilidad, ya que es un «problema arquitectónico importante».

Mientras tanto, se anima a los usuarios de LastPass a evitar las áreas sórdidas de Internet y habilitar la autorización de dos factores en todos los servicios que la admiten. No hay evidencia de que el exploit esté activo en la naturaleza, pero es mejor prevenir que curar.