La extensión LastPass de Chrome y Firefox contiene defectos que podrían permitir a sitios web maliciosos robar contraseñas de las víctimas o ejecutar comandos en sus computadoras.

Las fallas fueron descubiertas por el investigador Tavis Ormandy de Google Project Zero y responsable de revelar a LastPass.

Pero mientras la compañía ha sacado lo que parece ser una despreocupada e incompleta corrección en la última versión de la extensión de Chrome (4.1.42, fechada el 14 de marzo de 2017), todavía no se ha publicado una versión fija del complemento de Firefox, ya que la compañía está esperando a que Mozilla lo corrija.

Las vulnerabilidades

El servicio de gestión de contraseñas LastPass almacena contraseñas de usuarios en la nube y son recuperadas por medio de la extensión del navegador cuando un usuario las necesita para acceder a una cuenta en línea.

El complemento de Chrome contiene una secuencia de comandos que pueden explotarse para permitir que los sitios web maliciosos accedan a los comandos RPC de LastPass (llamadas de procedimiento remoto).

"Es posible enviar mensajes no confiables a LastPass 4.1.42 debido a un error, permitiendo a los sitios web acceder a RPC privilegiados internos (Remote Procedure Calls). Hay una gran cantidad de RPCs, lo que permite el control completo de la extensión LastPass, incluyendo el robo de contraseñas ", señaló Ormandy.

Y si el usuario ha instalado el componente binario de Lastpass en Chrome, un sitio web malicioso puede utilizar el mismo script para cargar el malware en la máquina de la víctima y ejecutarlo. Ormandy ha proporcionado una demostración de la hazaña para este ataque, así como el código JavaScript de PoC para explotar el script de contenido vulnerable.

La vulnerabilidad marcada por Ormandy en el complemento de Firefox está presente en la versión 3.3.2, que se puede descargar en la página de complementos de Mozilla. Puede ser explotado por sitios web maliciosos para obtener las contraseñas de los usuarios.

LastPass generalmente recomienda a los usuarios que cambien a las versiones 4.x del complemento, que se ofrecen en el sitio web de LastPass, pero aparentemente Ormandy ha revelado otro error en LastPass 4.1.35 que permite robar contraseñas para cualquier dominio.

En definitiva, por el momento, se aconsejaría a los usuarios desactivar su extensión LastPass hasta que haya una solución definitiva para ambas versiones.