(https://i.postimg.cc/sXJ143JX/Stealer_Cat.png) (https://postimages.org/)
Los investigadores encontraron múltiples vulnerabilidades en los administradores de contraseñas basados en la nube
Investigadores han descubierto 27 vulnerabilidades en cuatro gestores de contraseñas populares que podrían permitir a un atacante acceder a la bóveda de contraseñas de una víctima para alterar y robar credenciales.
La investigación, realizada por expertos de la Escuela Politécnica Federal de Zúrich (ETH) y la Universidad de Suiza (USI) en Suiza, incluyó vulnerabilidades en Bitwarden, susceptible a 12 ataques; LastPass, a siete; Dashlane, a seis; y 1Password, vulnerable a solo dos.
En total, estos gestores de contraseñas populares cubren a más de 60 millones de usuarios y casi 125.000 empresas. Los ataques descubiertos por los investigadores se centran en vulnerabilidades en cuatro categorías: custodia de claves, cifrado de bóveda, uso compartido y retrocompatibilidad.
Fallas de custodia de claves
Las fallas de custodia de claves se centran en vulnerabilidades en las funciones de recuperación de cuentas. Los investigadores señalaron que a menudo se almacenan copias de las claves de cifrado del usuario para facilitar la recuperación de la cuenta en caso de que el usuario no pueda acceder a ella con su contraseña maestra.
Sin embargo, en algunos casos, se puede acceder a las claves sin autenticación, lo que permite a un hacker manipular el proceso de recuperación para acceder a las claves y, a su vez, a la bóveda del usuario. En esta categoría de ataques, Bitwarden fue susceptible a tres y LastPass a uno.
Fallas de cifrado de la bóveda
La segunda categoría, las fallas de cifrado de la bóveda, se centra en cómo se cifran las credenciales almacenadas y su URL asociada dentro de la bóveda del usuario. En varios casos, los investigadores descubrieron que la bóveda no estaba cifrada como un solo bloque, sino que cada elemento individual se cifraba por separado.
Además, se dejó sin cifrar otra información sobre el contenido de la bóveda. LastPass fue susceptible a cinco ataques de este tipo, Bitwarden a cuatro y Dashlane a uno.
En ataques que explotan esta vulnerabilidad, un atacante podría, en teoría, filtrar información de cada campo de credenciales dentro de la bóveda para identificar su contenido. Un atacante también podría intercambiar elementos dentro de un campo para filtrar información, o presentar la URL asociada a las credenciales de forma que se filtren la contraseña y el nombre de usuario.
Fallas de uso compartido
Muchos administradores de contraseñas permiten a los usuarios compartir credenciales almacenadas y otra información por comodidad, como compartir rápidamente la contraseña de Wi-Fi con invitados.
Los investigadores descubrieron que la autenticación de usuarios era mínima al compartir elementos, lo que permitía varios vectores de ataque que podrían revelar elementos compartidos o permitir nuevos ataques. En esta categoría de ataques, Bitwarden fue vulnerable a dos, mientras que LastPass y Dashlane solo a uno.
En un ejemplo, un atacante podría crear una "organización" y agregar usuarios aleatorios usando su clave pública. El administrador de contraseñas sincronizaría a los usuarios con la organización falsa, haciéndolos parecer miembros de ella. En algunos casos, el atacante podría agregar elementos incriminatorios a la bóveda del usuario o acceder a todos los elementos almacenados en una carpeta compartida.
Fallos de retrocompatibilidad
Para mantener la compatibilidad entre versiones, muchos administradores de contraseñas ofrecen compatibilidad con versiones anteriores, lo que permite la retrocompatibilidad con métodos de cifrado más antiguos.
Esto resulta conveniente para organizaciones y usuarios que necesitan acceder a credenciales cifradas con métodos antiguos, pero presenta varias oportunidades para que los atacantes reduzcan el cifrado utilizado por el cliente a algoritmos criptográficos más antiguos y, por lo tanto, más débiles. En ataques de esta categoría, Dashlane fue susceptible a cuatro y Bitwarden a tres.
Vulnerabilidades abordadas y parches publicados
Antes de la publicación de la investigación, los investigadores contactaron a todos los proveedores de administradores de contraseñas afectados como parte de un proceso de divulgación de 90 días. Los investigadores observaron que no hay evidencia de que ninguna de las vulnerabilidades haya sido explotada indiscriminadamente, y todos los proveedores de gestores de contraseñas afectados han iniciado esfuerzos de remediación, con varias vulnerabilidades ya parcheadas.
Si bien 1Password solo fue vulnerable a dos ataques, la compañía respondió a los investigadores afirmando que las vulnerabilidades forman parte de limitaciones arquitectónicas, y que ya están documentadas en el informe técnico de diseño de seguridad de 1Password.
En declaraciones, Jacob DePriest, director de seguridad de la información y director de sistemas de 1Password, declaró:
«Nos comprometemos a fortalecer continuamente nuestra arquitectura de seguridad y a evaluarla frente a modelos de amenazas avanzados, incluyendo escenarios de servidores maliciosos como los descritos en la investigación, y a evolucionarla con el tiempo para mantener la protección que nuestros usuarios necesitan».
«Por ejemplo, 1Password utiliza contraseñas remotas seguras (SRP) para autenticar a los usuarios sin transmitir claves de cifrado a nuestros servidores, lo que ayuda a mitigar todo tipo de ataques del lado del servidor», afirmó DePriest. Recientemente, introdujimos una nueva función para las credenciales administradas por la empresa, que desde el principio se crean y protegen para resistir amenazas sofisticadas.
Bitwarden declaró en una entrada de blog que «el equipo de Bitwarden ha abordado todos los problemas identificados en el informe» y agradeció a los investigadores por descubrir las vulnerabilidades.
Tanto Dashlane como LastPass también agradecieron a los investigadores y detallaron sus propios hallazgos sobre las vulnerabilidades y sus mitigaciones.
Fuente:
TechRadar
https://www.techradar.com/pro/security/some-top-password-managers-can-be-hacked-and-hijacked-to-change-your-passwords-heres-what-we-know