Aggiornamenti recenti Luglio 31st, 2025 4:23 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Un Raspberry Pi per hackerare accedere alla rete bancaria: l’attacco (fallito) di UNC2891
- Apple rilascia una fix per una vulnerabilità di Safari già sfruttata in Chrome
- SafePay, cresce la minaccia ransomware contro gli MSP
- Spionaggio industriale: i gruppi cinesi puntano ai chip di Taiwan
- Google annuncia OSS Rebuild per migliorare la sicurezza dell’open-source
LastPass vulnerabile ad attacchi. Password a rischio
Il Google Project Zero segnala falle di sicurezza nel password manager. A rischio gli utenti che usano le estensioni per Chrome e Firefox.
LastPass è uno dei password manager più diffusi e apprezzati. Il suo compito è quello di offrire un sistema di memorizzazione sicuro delle credenziali di accesso a tutti i servizi Internet, che possono essere richiamati facilmente attraverso una “master password”.
Naturalmente LastPass, disponibile come estensione per tutti i principali browser, integra un sistema di crittografia “a prova di bomba” per la protezione delle credenziali.
Peccato che il servizio abbia alcune vulnerabilità che consentirebbero ai cyber-criminali di mettere le mani sui dati memorizzati semplicemente attraverso l’esecuzione di un Javascript che può essere facilmente incorporato in una pagina Web.
La segnalazione arriva, ancora una volta, dal ricercatore del Project Zero Team di Google Tavis Ormandy e pesa come un macigno su chi ha scelto di affidare a LastPass la gestione delle sue password.
Come spiega Ormandy in un post, la vulnerabilità che affligge l’estensione per Chrome consente di sottrarre le credenziali memorizzate e, nel caso in cui l’utente abbia installato il binary di LastPass, avviare anche un’esecuzione di codice in remoto.
L’installazione del binary per l’estensione di Chrome è stata introdotta per integrare alcune funzioni avanzate nel servizio e non è necessariamente presente in tutte le installazioni.
Secondo Ormandy, però, la sua installazione potrebbe essere forzata proprio attraverso la falla da lui individuata e, di conseguenza, anche chi non ha il componente binario installato correrebbe lo stesso rischio di chi lo ha.
Si può verificare la presenza del componente binario visualizzando le informazioni rigiradanti l’estensione di LastPass per Chrome. L’assenza del componente binario, però, non è condizione sufficiente per considerarsi al riparo da attacchi.
L’elemento preoccupante è la facilità con cui può essere sfruttato l’exploit: tutto quello che serve perché il processo si avvii è che la vittima si colleghi a un sito Internet che contiene due righe di codice Javascript:
win = window.open(“https://1min-ui-prod.service.lastpass.com/”);
win.postMessage({}, “*”);
Stando a un tweet postato ieri dagli sviluppatori del password manager, la vulnerabilità sarebbe stata eliminata attraverso l’ultimo aggiornamento dell’estensione per il browser targato Google. L’aggiornamento dovrebbe avvenire automaticamente per tutti gli utenti.
L’estensione per Chrome, però, non è l’unica a soffrire di un bug. Anche quella dedicata a Firefox avrebbe un problema simile, che consentirebbe a un cyber-criminale di violare il password manager semplicemente attirando la sua vittima su un sito Web.
Il bug riguarda la versione 3.3.32 dell’estensione, il cui ritiro in realtà è stato annunciato dagli sviluppatori di LastPass lo scorso 10 marzo. Il problema è che, stando a quanto riportato nello stesso post che ne annuncia il ritiro, la procedura non è così semplice: il ritiro dell’estensione sarà sottoposta all’approvazione di Mozilla solo il prossimo 31 marzo.
Le cose, però, sembrano non andare molto bene anche per le versioni più recenti di LastPass per Firefox. Lo stesso Ormandy, infatti, ha annunciato la presenza di un’ulteriore falla (sigh!) che riguarda sempre la versione per il browser Mozilla. Anche in questo caso il bug consentirebbe, se sfruttato, di sottrarre le credenziali di accesso ai siti.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Un Raspberry Pi per hackerare accedere alla rete bancaria:... I ricercatori di IB-Group hanno individuato un attacco... -
Apple rilascia una fix per una vulnerabilità di Safari... Martedì Apple ha rilasciato una fix che risolve una... -
Spionaggio industriale: i gruppi cinesi puntano ai chip di... I gruppi di cyberspionaggio legati alla Cina stanno... -
Google annuncia OSS Rebuild per migliorare la sicurezza... La scorsa settimana Google ha annunciato OSS Rebuild,... -
CERT-AGID 19 – 25 luglio: il Fascicolo Sanitario... Negli ultimi sette giorni, il panorama delle minacce...
Ransomware: la serie
No posts found.