Novedades de seguridad importantes para nuestros usuarios

Update March 25, 2017 (5:00pm): Our team is currently investigating a new report by Tavis Ormandy and will update our community when we have more details. Thank you.

Informe sobre una incidencia: 22 marzo de 2017 (14.30)

Queremos informar a nuestra comunidad sobre las vulnerabilidades detectadas recientemente por Tavis Ormandy, investigador de seguridad del equipo Project Zero de Google.

Este informe es largo, pero encontrará la información más relevante en el resumen. Si quiere conocer todos los detalles, puede leer el texto completo.

Resumen

  • El investigador de seguridad Tavis Ormandy identificó recientemente dos vulnerabilidades
  • Las investigaciones que hemos realizado hasta la fecha no han revelado la pérdida ni la divulgación de datos confidenciales de los usuarios
  • Se han creado parches para todas las extensiones, que se están poniendo a disposición de los usuarios
  • La incidencia no afectó a nuestras aplicaciones para dispositivos móviles Android y iOS
  • No es necesario cambiar la contraseña maestra
  • No hace falta cambiar las contraseñas del sitio
  • Asegúrese de que utiliza las versiones más recientes
    • La mayoría de los usuarios tienen configurada la actualización automática, pero siempre pueden descargarse las versiones más recientes desde com/download
    • Para saber qué versión tiene, vaya al icono de LastPass > Más opciones > Acerca de LastPass
      • Firefox: 4.1.36
      • Chrome: 4.1.43.82
      • Edge: 4.1.30 (pendiente de la aprobación de Microsoft)
      • Opera: 4.1.28 (pendiente de la aprobación de Opera)

¿Qué ocurrió?

Tavis Ormandy, investigador del Project Zero de Google, comunicó la semana pasada a nuestro equipo dos vulnerabilidades que afectaban a muchas extensiones para navegadores de LastPass. Los problemas detectados tienen repercusión tanto para los usuarios personales como profesionales.

Para explotar las vulnerabilidades detectadas, el atacante primero tendría que lograr que el usuario visitara un sitio web malicioso. Una vez allí, Tavis nos demostró cómo un atacante podría enviar peticiones a API de LastPass y, en algunos casos, ejecutar código arbitrario, todo ello sin despertar sospecha alguna. Con este método, el atacante podría recuperar y dejar al descubierto información de la cuenta de LastPass, como las credenciales de inicio de sesión del usuario.

Error de secuestro de mensajes en la versión 3.3.2 de la extensión de LastPass para Firefox

Incidencia detectada:
Aprovechando nuestro proceso de análisis de las URL en la versión 3.3.2 de la extensión de LastPass para Firefox, sitios web maliciosos podrían pasar por sitios web legítimos y engañar al complemento de LastPass para que facilite las credenciales del usuario afectado para acceder al sitio.

Este error fue comunicado a nuestro equipo el año pasado y lo corregimos en este momento. Sin embargo, el parche no se introdujo en la versión 3.3.x para Firefox, cuya retirada formal está prevista para este mes de abril.

Qué debe saber:

  • Antes de la presentación de este informe, anunciamos ya la retirada de nuestra versión 3.x para Firefox.
  • Nuestra recomendación es que los usuarios instalen la versión 4.1.36 para Firefox desde com/download. Los usuarios también pueden descargar la versión 3.3.4 para Firefox, aunque como ya advertimos recientemente, la versión 3.x de LastPass se retirará en las próximas semanas.

Error con el conector de sitio web

Incidencia detectada:
Un problema con la arquitectura de una función de integración de usuarios afectaba a los clientes que tenían ese código (Chrome, Firefox, Edge). Un sitio web malicioso podría engañar a LastPass haciéndose pasar por un sitio de confianza y robar las credenciales del sitio. Los usuarios que utilizan el componente binario de LastPass (menos del 10% del conjunto de usuarios de LastPass), además, podían ser víctimas de accesos remotos no autorizados al ser atraídos a un sitio web malicioso.

El error apareció por primera vez en agosto de 2016, coincidiendo con el lanzamiento de esta función experimental de integración de usuarios destinada a nuestros usuarios finales. El código, sin embargo, está presente en todos los clientes de LastPass para Chrome, Firefox y Edge.

Al tener constancia de la vulnerabilidad, el equipo de LastPass cerró inmediatamente el servicio vulnerable y empezó a trabajar para actualizar todos los clientes afectados.

Mientras estábamos arreglando el problema con el cliente, Tavis escribió un tweet indicando otro problema (aunque ya lo ha borrado). Para evitar confusiones, debemos aclarar que se trata del mismo problema en dos navegadores distintos. Esta circunstancia provocó cierto desconcierto en torno al alcance de los problemas y al estado de los parches.

Qué debe saber:

  • Hemos creado actualizaciones para todos los clientes afectados para acabar con esta vulnerabilidad y las hemos puesto a disposición de todos los usuarios.
  • Las actualizaciones para Chrome y Firefox ya están operativas, mientras que en el caso de Edge y Opera se encuentran en fase de espera para obtener la aprobación de la tienda de aplicaciones.
  • Dentro de este mismo proceso, hemos sometido a un exhaustivo análisis todas las demás extensiones (e instaladores) que utilizan este código.

Cronología completa (Costa Este de EE. UU.):

Error de secuestro de mensajes en la versión 3.3.2 de la extensión de LastPass para Firefox

  • 10 de marzo: LastPass anuncia la retirada formal de las versiones 3.3.x para Firefox
  • 15 de marzo a las 22.45 h: Se anuncia la vulnerabilidad relacionada con el secuestro de mensajes en la versión 3.3.2 de la extensión de LastPass para Firefox.
  • 15 de marzo a las 22.48 h: LastPass recibe detalles sobre el error en la versión 3.3.2 de la extensión de LastPass para Firefox y abre una investigación
  • 17 de marzo a las 8.43 h: LastPass envía un parche a Mozilla con la versión 3.3.4 de la extensión de LastPass para Firefox

Error con el conector de sitios web

  • 20 de marzo a las 19.20 h: Se anuncia el error en el conector de sitios web de la versión 4.1.42 de LastPass para Chrome
  • 20 de marzo a las 19.36 h: Se abre una investigación transversal de seguridad en LastPass
  • 21 de marzo a las 00.15 h: LastPass cierra el servidor responsable del servicio problemático
  • 21 de marzo a las 7.04 h: LastPass anuncia una solución para la parte del servidor mientras analizamos a conciencia el código y resolvemos por completo los problemas experimentados por el cliente
  • 22 de marzo a las 00.10 h: LastPass lanza la versión 4.1.36 para Firefox con la corrección
  • 22 de marzo a las 12.07 h: LastPass lanza la versión 4.1.43.82 para Chrome con la corrección
  • 22 de marzo a las 13.55 h: LastPass envía la versión 4.1.30 para Edge para su lanzamiento
  • 22 de marzo a las 14.49 h: LastPass lanza la versión 4.1.28 para Opera con la corrección com/download; lanzamiento pendiente de la aprobación de la tienda

Recordatorios sobre prácticas recomendadas en materia de seguridad personal

Sabemos que los usuarios de LastPass tratan de ceñirse a las prácticas recomendadas, pero nunca está de más un recordatorio sobre la mejor forma de proteger los equipos y los datos:

  • Cuidado con los ataques de phishing. No haga clic en vínculos de gente que no conozca o cuyo contenido le resulta extraño o ilógico, a pesar de que parecen provenir de personas y empresas en las que confía.
  • Utilice una contraseña distinta y única para cada una de sus cuentas en Internet.
  • Utilice para su cuenta de LastPass una contraseña maestra fiable y segura que nadie más sepa, ni siquiera nosotros.
  • Active la autenticación de doble factor para LastPass y otros servicios, como su banco, e-mail, Twitter, Facebook, etc.
  • Mantenga su máquina limpia utilizando un antivirus y actualizando siempre el software.

Mirando al futuro

Para evitar que se repitan estos problemas en el futuro, estamos revisando y reforzando los procesos actuales de control de la seguridad de nuestro código, sobre todo al implantar funciones nuevas o experimentales.

Como puede imaginarse, la seguridad es un elemento fundamental para la labor que realizamos en LastPass. Y creemos que la transparencia es la mejor forma de encarar estas incidencias. Valoramos enormemente el trabajo realizado por Tavis, Project Zero y otros muchos investigadores. Todos salimos beneficiados cuando este modelo de seguridad sirve para poner errores al descubierto, y estamos convencidos de que ahora LastPass es una plataforma más fuerte. Disponemos de un programa con recompensas abierto a todos los investigadores que hayan identificado errores en nuestro software: https://bugcrowd.com/lastpass.

———-

22 marzo de 2017 (11.12 h)

La semana pasada estuvimos trabajando con el investigador de seguridad de Google Tavis Ormandy para investigar y reparar las vulnerabilidades detectadas. Lamentamos no haber dado una explicación antes, pero queríamos analizar a conciencia estas incidencias para poder ofrecer una respuesta con el máximo nivel de detalle. Aunque pronto presentaremos una explicación detallada de los hechos, para nosotros era importante hacer este pequeño resumen para tranquilizar a nuestra comunidad.

¿Qué ocurrió?
La noche del 20 de marzo nos informaron de un problema en nuestra extensión 4.1.42.80 para Chrome. Nos pusimos a investigar el problema de inmediato y lanzamos una solución para la parte del servidor en unas pocas horas. El problema afectaba a todos los clientes de LastPass —Chrome, Firefox, Edge— con una función experimental de integración de usuarios.

El 21 de marzo llegó la información sobre otro error relacionado con la versión 4.1.35a para Firefox. En realidad, esta vulnerabilidad es prácticamente idéntica a la comunicada el día antes, que afectaba a la versión 4.x del complemento para Firefox. Aunque este problema se hubiera resuelto con la corrección completa propuesta la solución provisional, recibimos el informe antes de lanzarla. Hoy a las 00.15 h ET hemos publicado una actualización, la versión 4.1.36a para Firefox, en respuesta a las conclusiones de dicho informe.

Las correcciones se están haciendo llegar a todos los usuarios y en la mayoría de los casos las actualizaciones tienen lugar automáticamente.

Nada parece indicar que ninguna de las vulnerabilidades detectadas se haya explotado en ninguna situación real, aunque actualmente tenemos en marcha un análisis detallado para confirmarlo. Muy pronto publicaremos un resumen más completo de la situación y de todo lo que nuestros usuarios necesitan saber. En estos momentos no es necesario que los usuarios modifiquen ninguna contraseña.