Una vulnerabilidad en el plugin para Internet Explorer del gestor de contraseñas LastPass permitiría obtener las contraseñas almacenadas de un usuario. La actualización que corrige el error de seguridad ya se encuentra disponible y es fundamental que los usuarios de Internet Explorer apliquen la misma.
LastPass es un gestor de contraseñas, que ofrece a sus usuarios el almacenamiento de las mismas en su servidor seguro. Luego, mediante la utilización de un plugin en el navegador, ya sea éste Chrome, Firefox o Explorer, entre otros, la autenticación a los diversos sitios almacenados se realiza en forma automática, sin necesidad de ingresar manualmente los datos de usuario y contraseña. Esto representa una gran ventaja para los usuarios, ya que les permite almacenar contraseñas seguras para los distintos servicios a los que se accede en forma diaria, eliminando el riesgo de olvidar las mismas. Además, al ser un proceso automático, la autenticación es más rápida.
Sin embargo, actualmente los usuarios de la versión 2.0.20 del plugin de LastPass para Internet Explorer que no hayan aplicado la última actualización se encuentran vulnerables al robo de sus contraseñas. Para poder llevar a cabo la explotación de la vulnerabilidad, los criminales necesitan acceso a la computadora del usuario. A partir de allí, si se realiza un volcado de memoria del proceso correspondiente al navegador, se pueden obtener las contraseñas utilizadas por el usuario en su última sesión de navegación, incluso si no se está utilizando el plugin en ese momento.
De lo dicho, se observa que los usuarios afectados corresponden a una parte del total de usuarios del servicio de LastPass. En particular, para que los criminales puedan explotar esta vulnerabilidad es necesario que el usuario haya utilizado el plugin de Internet Explorer en su última sesión de navegación y que aún no haya cerrado el navegador. Si bien es necesario la existencia de todas estas condiciones para lograr el acceso a las contraseñas, posiblemente surgirán códigos maliciosos que faciliten a los criminales la explotación de esta vulnerabilidad.
Se puede observar además que los servidores siguen siendo seguros y la brecha de seguridad se encuentra del lado del usuario. Por ello, LastPass recomienda en su blog la utilización de una solución de seguridad, de tal modo de evitar la existencia de código malicioso en la computadora del usuario que pueda atacar esta vulnerabilidad. Adicionalmente, desde ESET Latinoamérica recordamos que es fundamental mantener las aplicaciones actualizadas para evitar ser víctimas de la explotación de este tipo de vulnerabilidades.
Matías Porolli
Especialista de Awareness & Research
