Vulnerabilidad de LastPass: ¿Deben los usuarios de LastPass cambiar todas sus contraseñas?

5

Lea acerca de la reciente vulnerabilidad en las extensiones de LastPass para Firefox y Chrome . El exploit publicado permite la ejecución de código arbitrario. La vulnerabilidad también permitió el acceso a las contraseñas almacenadas. Puedo leer que la ejecución de código arbitrario no funcionará a menos que la extensión binaria esté habilitada. Si mi ..um amigo usó LastPass, ¿asumo que todavía era vulnerable a un script malicioso que accede a las contraseñas incluso sin la extensión binaria de Chrome habilitada?

Entonces, si esta extensión vulnerable ha estado ahí y nadie tiene idea de si Project Zero fue el primero en encontrarla, ¿por qué LastPass no recomienda que todos cambien todas sus contraseñas?

    
pregunta mcgyver5 24.03.2017 - 17:31
fuente

2 respuestas

2

La última pasada que sugiere que las personas cambien sus contraseñas depende de si la vulnerabilidad se descubrió antes de que se revelara y resolviera, y si los usuarios han visitado un sitio infectado en caso de que lo fuera. También depende de cómo se resolvió la vulnerabilidad.

Tavis Ormandy es un muy buen investigador que ha estado hurgando en Last Pass durante bastante tiempo, y aunque es posible que alguien más haya descubierto la vulnerabilidad antes que él, me parece poco probable. Sin embargo, si se descubrió, probablemente no se usó mucho, ya que no hemos visto ninguna filtración en los medios hasta ahora y no creo que una violación de Last Pass duraría mucho sin ser descubierta. En mi opinión, no es muy probable que los usuarios se hayan visto afectados con esto.

El exploit solo permite el acceso a los RPC de Last Passe sin la extensión, por lo que un atacante no podría obtener acceso a su contraseña maestra, sino a la contraseña de un sitio (o posiblemente algunos sitios) que haya almacenado en Last Pass. Entonces, si tiene ganas de cambiar su contraseña, cambie las contraseñas de los sitios a los que accede a través de Last Pass, no la contraseña maestra.

Finalmente, si la vulnerabilidad se resolvió eliminando la entrada del DNS y no eliminando el servicio, un MITM podría obtener los detalles de su cuenta, pero la probabilidad de un ataque dirigido es bastante baja a menos que un atacante pueda manipular una página web saben que usted es frecuente y también pueden posicionarse como MITM.

Todo esto apunta a un riesgo bastante bajo de que los usuarios de Last Pass se hayan quemado, de lo contrario, es probable que fuera una pequeña cantidad de usuarios. Creo que el circo mediático que seguiría a Last Pass sugiriendo que todos los usuarios cambien sus contraseñas crearía más daño que beneficio para la compañía en general, mientras que solo tener algunos usuarios afectados no es ideal, es más manejable desde el punto de vista de las relaciones públicas.

    
respondido por el Daniel V 24.05.2017 - 02:08
fuente
0

Me parece que esta vulnerabilidad permite el acceso no autorizado a través de la extensión y, por lo tanto, proporciona acceso a sus contraseñas. Si cree que existe la posibilidad de que esté infectado con un troyano de acceso remoto (RAT) u otro virus que permita el acceso remoto, el cambio de contraseñas puede ser una buena idea. Sin embargo, cambiar sus contraseñas de vez en cuando es una buena práctica de seguridad en sí misma. Personalmente, si tengo alguna duda en mi mente, generalmente el juego es seguro. Cambiar las contraseñas críticas (como el inicio de sesión en la banca) ciertamente no estaría mal.

    
respondido por el SuperAdmin 24.03.2017 - 21:40
fuente

Lea otras preguntas en las etiquetas