Uma falha no gerenciador de senhas LastPass poderia filtrar senhas de login inseridas em um site visitado anteriormente por um usuário..
A exploração do bug era possível nos navegadores Google Chrome e Opera e exigia algum esforço para ser bem-sucedido, pois o alvo precisava passar por várias etapas.
Não é tão simples assim
O engenheiro de segurança do Google, Tavis Ormandy, descobriu que um invasor pode criar um cenário válido de clickjacking para um usuário que usou o LastPass para fazer login em uma conta e direcioná-lo para um site comprometido ou mal-intencionado carregado com um iframe especialmente criado.
Na divulgação de vulnerabilidades enviada ao LastPass, o pesquisador detalha o aspecto técnico e como o clickjacking subsequente pode revelar as últimas credenciais usadas por uma vítima.
Ele explica que o roubo seria bem-sucedido se todas as ações ocorressem na mesma guia.
Ao colocar em um iframe o pop-up solicitando o preenchimento da senha, uma etapa da cadeia de verificação foi ignorada e o último valor em cache da guia atual vazaria.
Isso significa que, através de um clickjacking, você pode vazar as credenciais do site anterior conectado à guia atual, explica Ormandy no relatório ao LastPass no final de agosto.
Depois de mexer no bug por um tempo, o pesquisador encontrou uma maneira de automatizar o vazamento de credenciais em um site do Google.
Embora o método possa não funcionar com todos os sites, Ormandy calcula que o bug tem uma severidade alta.
O pesquisador apontou outros problemas descobertos no LastPass que poderiam ser aproveitados por um invasor.
Notícias Relacionadas
Inovação automotiva
Xiaomi expande atuação em veículos elétricos
Xiaomi avança na expansão internacional de seus veículos elétricos, com modelos como o SU7 e o SUV YU7. Estratégia inclui vendas iniciais em pequenos lotes e ajuste para o mercado global.
Mercado Automotivo
Samsung Display ganha força no mercado lucrativo de painéis automotivos
A Samsung Display está crescendo no mercado de painéis automotivos, com um aumento significativo nas remessas de painéis OLED, consolidando sua posição no setor.
Uma delas é a possibilidade de gerar eventos arbitrários de teclas de atalho devido à falta de verificação de eventos confiáveis.
Outro problema permitiu desativar várias verificações de segurança, enquanto um terceiro permitiu ignorar várias verificações relacionadas à segurança.
Falha nas extensões do LastPass atualizadas
Os criadores do gerenciador de senhas reconheceram a vulnerabilidade e na sexta-feira passada publicaram um comunicado anunciando que resolveram o bug.
A empresa observa que
embora qualquer exposição potencial devido ao bug tenha sido limitada a navegadores específicos (Chrome e Opera), por precaução, implantamos a atualização em todos os navegadores.
O processo é automatizado para que os usuários não precisem executar nenhuma ação, assim a falha no gerenciador de senhas LastPass foi contida.
As práticas recomendadas recomendadas para usuários do LastPass incluem o seguinte:
- fique longe de links de indivíduos desconhecidos;
- ativar autenticação multifator (MFA) para todos os serviços que suportam o recurso;
- não reutilize ou compartilhe a senha mestra do seu gerenciador de senhas;
- crie uma senha exclusiva para cada conta online;
- execute uma solução antivírus atualizada e mantenha o software no seu computador na versão mais recente.
Fonte: BleepingComputer
