Importanti aggiornamenti di sicurezza per i nostri utenti

Update March 25, 2017 (5:00pm): Our team is currently investigating a new report by Tavis Ormandy and will update our community when we have more details. Thank you.

Resoconto degli incidenti di sicurezza: 22 marzo 2017 (14:30)

Desideriamo offrire alla nostra community un aggiornamento sulle vulnerabilità recentemente rivelate da Tavis Ormandy, ricercatore di sicurezza del team Project Zero di Google.

Considerata la lunghezza del post, potete leggere i punti salienti nel riepilogo oppure approfondire l’argomento con l’esauriente sintesi a seguire.

Riepilogo

  • Due vulnerabilità sono state individuate di recente dal ricercatore di sicurezza Tavis Ormandy.
  • A oggi, la nostra indagine non ha indicato alcuna perdita o compromissione dei dati sensibili degli utenti.
  • Abbiamo aggiornato tutte le estensioni con le patch necessarie e le stiamo rilasciando nuovamente agli utenti.
  • Le nostre app per iOS o Android non ne risultano compromesse.
  • Non è necessario modificare la master password.
  • Non è necessario modificare le credenziali di accesso ad alcun sito.
  • Verificare che siano in esecuzione le versioni più recenti.
    • Anche se la maggior parte degli utenti riceverà l’aggiornamento automatico, le versioni più recenti sono sempre disponibili all’indirizzo com/download.
    • Verificare la propria versione facendo clic su icona LastPass > Più opzioni > Informazioni su LastPass.
      • Firefox: 4.1.36.
      • Chrome: 4.1.43.82.
      • Edge: 4.1.30 (previa approvazione di Microsoft).
      • Opera: 4.1.28 (previa approvazione di Opera).

Cos’è successo

La scorsa settimana, un ricercatore del Project Zero di Google, Tavis Ormandy, ha indicato al nostro team due vulnerabilità che interessavano molte estensioni LastPass per browser, coinvolgendo sia gli utenti privati che quelli aziendali.

Per sfruttare le vulnerabilità rilevate, un pirata informatico sarebbe dovuto prima riuscire ad attirare un utente su un sito Web dannoso. Se ci fosse riuscito, Tavis ha dimostrato come avrebbe potuto effettuare chiamate alle API di LastPass, o, in taluni casi, eseguire codici arbitrari, spacciandosi per una parte attendibile. In questo modo, il pirata informatico sarebbe, in teoria, potuto entrare in possesso di informazioni sull’account LastPass dell’utente, come le credenziali di accesso.

Bug di dirottamento dei messaggi nella versione 3.3.2 dell’estensione di LastPass per Firefox

Cos’è stato segnalato:
A causa del processo di analisi degli URL nella versione 3.3.2 per Firefox, un sito Web dannoso avrebbe potuto ingannare l’estensione di LastPass spacciandosi per legittimo ed eseguire lo spoof delle credenziali di un utente.

Questo bug, comunicato al nostro team l’anno scorso, è stato prontamente corretto nel ramo di sviluppo 4.x. Tuttavia, la correzione non è stata propagata alla versione tradizionale 3.3.x per Firefox, che sarà ufficialmente ritirata ad aprile.

Cosa c’è da sapere:

  • In un recente annuncio, precedente a questo resoconto, abbiamo dichiarato il ramo di sviluppo 3.x per Firefox deprecato.
  • Consigliamo vivamente di passare alla versione 4.1.36 dell’estensione per Firefox dal sito com/download. Gli utenti possono anche eseguire l’aggiornamento alla versione 3.3.4, anche se, come precedentemente indicato, il relativo ramo di sviluppo sarà deprecato nelle prossime settimane.

Bug dei connettori di siti Web

Cos’è stato segnalato:
Un problema nell’architettura di una funzione per l’onboarding dei consumatori ha colpito i client su cui viene impiegato tale codice (Chrome, Firefox ed Edge). Un sito Web dannoso avrebbe potuto ingannare LastPass spacciandosi per una parte attendibile e rubare le credenziali di accesso. Gli utenti che utilizzavano il componente binario di LastPass (meno del 10% della nostra base utenti) erano maggiormente soggetti agli exploit remoti se attirati su un sito Web dannoso.

Il bug è stato introdotto ad agosto del 2016, quando abbiamo rilasciato questa funzione sperimentale per l’onboarding degli utenti consumatori. Il codice, a ogni modo, è presente in tutti i client LastPass per Chrome, Firefox ed Edge.

Una volta individuata la vulnerabilità, il team di LastPass ha subito cessato il servizio interessato, mettendosi al lavoro per aggiornare tutti i client coinvolti.

Mentre lavoravamo alla nostra correzione lato client, Tavis ha inviato un tweet su un ulteriore problema, anche se è stato poi cancellato. Siccome ciò è stato causa di confusione riguardo al numero di problemi e allo stato delle relative risoluzioni, ci teniamo a precisare che si trattava del medesimo problema su due browser differenti.

Cosa c’è da sapere:

  • Abbiamo presentato degli aggiornamenti a tutti i client interessati per correggere definitivamente questa vulnerabilità, prima di un nuovo rilascio agli utenti.
  • Le versioni per Chrome e Firefox sono già pronte, mentre quelle per Edge e Opera sono in attesa di approvazione da parte dei rispettivi app store.
  • Come se non bastasse, abbiamo analizzato a fondo tutte le altre estensioni (compresi i nostri programmi di installazione) che fanno uso di questo codice.

Cronologia completa (ora degli Stati Uniti orientali):

Bug di dirottamento dei messaggi nella versione 3.3.2 dell’estensione di LastPass per Firefox

  • 10 marzo: LastPass annuncia ufficialmente che le versioni 3.3.x per Firefox saranno deprecate.
  • 15 marzo, 22:45: viene annunciato il bug di dirottamento dei messaggi nella versione 3.3.2 per Firefox.
  • 15 marzo, 22:48: LastPass riceve i dettagli del bug che colpisce la versione 3.3.2 per Firefox e avvia un’indagine.
  • 17 marzo, 8:43: LastPass presenta una patch a Mozilla con la versione 3.3.4 per Firefox.

Bug dei connettori di siti Web

  • 20 marzo, 19:20: viene annunciato il bug dei connettori di siti Web nella versione 4.1.42 per Chrome.
  • 20 marzo, 19:36: LastPass avvia un’indagine di sicurezza interfunzionale.
  • 21 marzo, 00:15: LastPass interrompe il servizio problematico lato server.
  • 21 marzo, 7:04: LastPass annuncia l’applicazione di una soluzione temporanea lato server, mentre procede a un’analisi approfondita del codice per una risoluzione definitiva dei problemi lato client.
  • 22 marzo, 00:10: LastPass rilascia la versione 4.1.36 per Firefox contenente la correzione.
  • 22 marzo, 12:07: LastPass rilascia la versione 4.1.43.82 per Chrome contenente la correzione.
  • 22 marzo, 13:55: LastPass presenta la versione 4.1.30 per Edge per il rilascio.
  • 22 marzo, 14:49: LastPass rilascia la versione 4.1.28 per Opera contenente la correzione su com/download, nell’attesa dell’approvazione al rilascio da parte dell’app store.

Promemoria sulle migliori pratiche in materia di sicurezza personale

Anche se sappiamo bene che gli utenti LastPass si impegnano ad attuare le migliori pratiche per la sicurezza, questi rimangono ottimi promemoria su come proteggere i propri dispositivi e tenere al sicuro i propri dati:

  • Fate attenzione agli attacchi di phishing. Non fate clic sui link ricevuti da persone che non conoscete o che sembrano insoliti se provengono dai contatti e dalle aziende di vostra fiducia.
  • Usate una password diversa e unica per ogni account online.
  • Usate una master password complessa e sicura per il vostro account LastPass, e non rivelatela mai a nessuno, nemmeno a noi.
  • Attivate l’autenticazione a due fattori per LastPass e altri servizi come la vostra banca, le e-mail, Twitter, Facebook ecc.
  • Mantenete puliti i dispositivi eseguendo un antivirus e mantenendo aggiornato il software.

Uno sguardo al futuro

Per prevenire simili problemi in futuro, stiamo rivedendo e rafforzando i nostri attuali processi di revisione del codice e verifica della sicurezza, specialmente in relazione alle funzioni nuove e sperimentali.

Va da sé che la sicurezza è fondamentale per ciò che facciamo. Apprezziamo molto il lavoro di Tavis, dei ricercatori del Project Zero e degli altri hacker etici, e ci adoperiamo per la massima trasparenza nel cercare di porre rimedio alle problematiche sollevate. Se questo modello di sicurezza svolge correttamente la sua funzione di divulgazione responsabile dei bug, LastPass non può che uscirne potenziato e ne traiamo vantaggio tutti. Accogliamo con favore contributi da tutti i ricercatori tramite il nostro programma di bug bounty all’indirizzo https://bugcrowd.com/lastpass.

———-

22 marzo 2017 (11:12)

Nel corso dell’ultima settimana, abbiamo collaborato con il ricercatore di sicurezza di Google, Tavis Ormandy, per indagare e correggere le vulnerabilità rilevate. Ci scusiamo per il ritardo con cui ci pronunciamo sull’argomento, ma stiamo conducendo un’indagine approfondita su queste segnalazioni al fine di fornirvi quanti più dettagli possibile. Nell’attesa di un’imminente analisi retrospettiva, ci teniamo a condividere questa breve sintesi con la nostra community.

Cos’è successo
La notte del 20 marzo, abbiamo ricevuto la segnalazione di un problema nella versione 4.1.42.80 della nostra estensione per Chrome. Abbiamo esaminato subito la vicenda, rilasciando una soluzione temporanea lato server nel giro di un paio d’ore. L’exploit interessava tutti i client LastPass, Chrome, Firefox ed Edge, in cui era stata rilasciata una funzione sperimentale per l’onboarding degli utenti.

Il giorno dopo, il 21, è arrivata un’altra segnalazione relativa alla versione 4.1.35a per Firefox. A dire il vero, questa vulnerabilità è in gran parte identica a quella succitata, anche se interessa un browser diverso. Sebbene questo problema sarebbe stato risolto comunque dalla correzione definitiva successiva alla soluzione temporanea, la segnalazione in questione è arrivata prima che questa fosse rilasciata. Intorno alle ore 00:15 (fuso orario della costa orientale), infatti, abbiamo presentato l’aggiornamento 4.1.36a per Firefox, proprio in risposta alla suddetta segnalazione.

Stiamo mettendo a disposizione di tutti gli utenti gli aggiornamenti con le correzioni, la maggior parte dei quali dovrebbe installarsi automaticamente.

Anche se non vi è alcuna indicazione di sfruttamento reale delle vulnerabilità rilevate, stiamo attualmente conducendo un’indagine approfondita per appurarlo. Forniremo presto una sintesi degli eventi più esauriente, indicando alla nostra community ciò che c’è da sapere. Al momento, non è necessario che gli utenti modifichino alcuna password.