Vulnerabilidad en LastPass podía permitir el acceso a contraseñas de forma remota

Cada vez estamos más conectados en internet, tenemos más dispositivos y queremos tener todo en cualquier lugar y en cualquier momento. La nube, intenta hacer que esto pueda ser posible, y aunque a nivel funcional queda muy bonito, no es oro todo lo que reluce, y esta vez le ha tocado la china a LastPass, demostrando que tener nuestras contraseñas guardadas en la red puede ser de los peores hábitos para mantener nuestra privacidad.

LastPass es un gestor de contraseñas, un programa que permite gestionar y mantener tus contraseñas de forma segura, y permite hacerlo de forma remota. Para esto utiliza el sistema AES-256 con cifrado PBKDF2 SHA-256 y hashes con salt.

El conocido investigador de seguridad Tavis Ormandy (@tavido) del equipo Project-Zero de Google, ha sido quien ha encontrado esta vulnerabilidad y se ha puesto en contacto con LastPass con los detalles de la vulnerabilidad para que pueda ser subsanada.

Full report sent to LastPass, they're working on it now. Yes, it's a complete remote compromise. Yes, I promise I'll look at 1Password.

— Tavis Ormandy (@taviso) 27 de julio de 2016

El error se debe a un error en el diseño de la comunicación entre los componentes con privilegios y sin privilegios. Esto permite que los manejadores de eventos de los componentes creen componentes iframe con privilegios. Si se modifica el parámetro url de estos iframe, un componente será el encargado de lanzar un mensaje para ver si el destino es seguro o no, pero gracias a la captura del evento MouseEvent() a través de Javascript estos mensajes podrán llegar a ser legítimos.

Tavis, además ha confirmado que hizo una demostración rápida en la cual conseguía de forma remota (RPC) eliminar ficheros. También ha publicado una lista completa de los componentes a los que se pueden acceder de forma remota.

Here are the details of the vulnerability I reported https://t.co/2fWFyBFzUm https://t.co/3HaEQRJEqa

— Tavis Ormandy (@taviso) 28 de julio de 2016

El problema ha sido confirmado por el equipo de LastPass, si bien igualmente afirman que solo afecta a la extensión para FireFox. También añaden que ya ha sido totalmente corregido con una actualización automática para todos los usuarios de LastPass 4.0 o posterior.

El equipo de LastPass aprovecha también para comentar un problema comunicado de forma responsable hace más de un año, por el investigador Mathias Karlsson (@avlidienbrunn), y que igualmente fue corregido en su momento.

I, too, have hacked LastPass :) https://t.co/YeIzTHASou cc @taviso

— ­Mathias Karlsson (@avlidienbrunn) 27 de julio de 2016

Karlsson ha publicado recientemente un aviso con sus descubrimientos, en relación a un problema en el tratamiento de URLs y que también podría permitir el acceso a todas las contraseñas con solo visitar una web. En este caso afectaba a todas las versiones de los navegadores que fueron actualizadas sin intervención de los usuarios.

Más información:

Reporte de Tavis

LastPass: design flaw in communication between privileged and unprivileged components

https://bugs.chromium.org/p/project-zero/issues/detail?id=884

LastPass Security Updates

https://blog.lastpass.com/2016/07/lastpass-security-updates.html/

How I made LastPass give me all your passwords

https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/

Jose Ignacio Palacios Ortega

jipalacios@hispasec.com