La falla de Bitwarden puede permitir a los hackers robar contraseñas

La función de autocompletar credenciales de Bitwarden contiene un comportamiento arriesgado que podría permitir que los iframes maliciosos incrustados en sitios web de confianza roben las credenciales de las personas y las envíen a un atacante.

El problema fue reportado por analistas de Flashpoint, quienes dijeron que Bitwarden se enteró del problema por primera vez en 2018, pero optó por permitirle acomodar sitios legítimos que usan iframes.

Aunque la función de autocompletar está deshabilitada en Bitwarden de forma predeterminada, y las condiciones para explotarla no son abundantes, Flashpoint dice que todavía hay sitios web que cumplen con los requisitos donde los actores de amenazas motivados pueden intentar explotar estos defectos.

Autocompletado (in)condicional

Bitwarden es un popular servicio de administración de contraseñas de código abierto con una extensión de navegador web que almacena secretos como nombres de usuario y contraseñas de cuentas en una bóveda cifrada.

Cuando sus usuarios visitan un sitio web, la extensión detecta si hay un inicio de sesión almacenado para ese dominio y ofrece completar las credenciales. Si la opción de autocompletar está habilitada, los rellena automáticamente al cargar la página sin que el usuario tenga que hacer nada.

Mientras analizaban Bitwarden, los investigadores de Flashpoint descubrieron que la extensión también rellena automáticamente formularios definidos en iframes incrustados, incluso aquellos de dominios externos.


"Si bien el iframe incrustado no tiene acceso a ningún contenido en la página principal, puede esperar la entrada al formulario de inicio de sesión y reenviar las credenciales ingresadas a un servidor remoto sin más interacción del usuario", explica Flashpoint.

Flashpoint investigó con qué frecuencia se incrustan los iframes en las páginas de inicio de sesión de sitios web de alto tráfico e informó que el número de casos de riesgo era muy bajo, lo que disminuyó significativamente el riesgo.

Sin embargo, un segundo problema descubierto por Flashpoint mientras investigaba el problema de los iframes es que Bitwarden también completará automáticamente las credenciales en los subdominios del dominio base que coincidan con un inicio de sesión.

Esto significa que un atacante que aloja una página de phishing bajo un subdominio que coincide con un inicio de sesión almacenado para un dominio base determinado capturará las credenciales cuando la víctima visite la página si la función de autocompletar está habilitada.

"Algunos proveedores de alojamiento de contenido permiten alojar contenido arbitrario bajo un subdominio de su dominio oficial, que también sirve a su página de inicio de sesión", explica Flashpoint en el informe.

"Como ejemplo, si una empresa tiene una página de inicio de sesión en https://logins.company.tld y permite a los usuarios servir contenido bajo https://<nombre de cliente>.empresa.tld, estos usuarios pueden robar credenciales de las extensiones de Bitwarden".

No siempre es posible registrar un subdominio que coincida con el dominio base de un sitio web legítimo, por lo que se reduce la gravedad del problema.

Sin embargo, algunos servicios permiten a los usuarios crear subdominios para alojar contenido, como servicios de alojamiento gratuitos, y el ataque aún es posible a través del secuestro de subdominios.

Respuesta de Bitwarden

Bitwarden destaca que la función de autocompletar es un riesgo potencial e incluso incluye una advertencia destacada en su documentación, mencionando específicamente la probabilidad de que los sitios comprometidos abusen de la función de autocompletar para robar credenciales.


Este riesgo salió a la luz por primera vez en una evaluación de seguridad fechada en noviembre de 2018, por lo que Bitwarden ha sido consciente del problema de seguridad desde hace algún tiempo.

Sin embargo, dado que los usuarios necesitan iniciar sesión en los servicios utilizando iframes integrados de dominios externos, los ingenieros de Bitwarden decidieron mantener el comportamiento sin cambios y agregar una advertencia en la documentación del software y el menú de configuración relevante de la extensión.


En respuesta al segundo informe de Flashpoint sobre el manejo de URI y cómo el autocompletado trata los subdominios, Bitwarden prometió bloquear el autocompletado en el entorno de alojamiento reportado en una actualización futura, pero no planea cambiar la funcionalidad del iframe.

Cuando BleepingComputer contactó a Bitwarden sobre el riesgo de seguridad, confirmaron que conocían este problema desde 2018, pero no han cambiado la funcionalidad, ya que los formularios de inicio de sesión en sitios legítimos usan iframes.

"Bitwarden acepta el relleno automático de iframe porque muchos sitios web populares usan este modelo, por ejemplo, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta usa un iframe de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta", dijo Bitwarden a BleepingComputer en un comunicado.

"Así que hay casos de uso perfectamente válidos en los que los formularios de inicio de sesión están en un iframe bajo un dominio diferente".

"La función descrita para autocompletar en la publicación del blog NO está habilitada de forma predeterminada en Bitwarden y hay un mensaje de advertencia en esa función exactamente por esta razón dentro del producto y dentro de la documentación de ayuda. No tienes permitido ver enlaces. Registrate o Entra a tu cuenta".



Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta