Si está ejecutando Windows 10 en su PC, existen posibilidades de que su computadora contenga una aplicación de administrador de contraseñas de terceros preinstalada que permita a los atacantes robar todas sus credenciales de forma remota.
A partir de Windows 10 Anniversary Update (Versión 1607), Microsoft agregó una nueva característica llamada Content Delivery Manager que silenciosamente instala nuevas «aplicaciones sugeridas» sin pedir permiso a los usuarios.
De acuerdo con una entrada de blog publicada el viernes en el blog de Chromium, investigador de Google Project Zero Tavis Ormandy dijo que había encontrado un gestor de contraseñas famosa pre-instalado, llamado «Guardián», en su recién instalado sistema de Windows 10 que se descarga directamente desde el Microsoft Developer Network.
Ormandy no fue el único que notó Keeper Password Manager. Algunos usuarios de Reddit se quejaron del administrador de contraseñas ocultas hace unos seis meses, uno de los cuales informó que Keeper se instaló en una máquina virtual creada con Windows 10 Pro.
Falla crítica en Keeper Password Manager
Sabiendo que un administrador de contraseñas de terceros ahora viene instalado por defecto en Windows 10, Ormandy comenzó a probar el software y no tardó más en descubrir una vulnerabilidad crítica que lleva a un «compromiso total de la seguridad de Keeper, permitiendo que cualquier sitio web robe cualquier contraseña».
«No quiero saber cómo incluso un administrador de contraseñas con una raíz remota trivial que comparte todas sus contraseñas con cada sitio web es mejor que nada. La gente realmente me dice esto», escribió Ormandy en Twitter .
La vulnerabilidad de seguridad en Keeper Password Manager era casi idéntica a la que Ormandy descubrió e informó en la versión no empaquetada del mismo complemento Keeper en agosto de 2016 que permitió a los sitios web maliciosos robar contraseñas.
«Comprobé y están haciendo lo mismo otra vez con esta versión. Creo que estoy siendo generoso considerando esto como un nuevo problema que califica para una revelación de noventa días, ya que literalmente cambié los selectores y el mismo ataque funciona, «Ormandy dijo.
Para explicar la gravedad del error, Ormandy también proporcionó un exploit de prueba de concepto (PoC) en funcionamiento que roba la contraseña de Twitter de un usuario si se almacena en la aplicación Keeper.
Instalar Keeper Password Manager actualizado
Ormandy informó sobre la vulnerabilidad a los desarrolladores de Keeper, que reconocieron el problema y publicaron una solución en la recién publicada versión 11.4 el viernes al eliminar la vulnerable funcionalidad «agregar a la existente».
Dado que la vulnerabilidad solo afecta a la versión 11 de la aplicación Keeper, que se lanzó el 6 de diciembre como una actualización importante de la extensión del navegador, la vulnerabilidad es diferente de la que Ormandy informó hace seis meses.
Keeper también ha agregado que la compañía no ha notado ningún ataque que use esta vulnerabilidad de seguridad en la naturaleza.
En cuanto a los usuarios de Windows 10, Ormandy dijo que los usuarios no serían vulnerables al robo de contraseñas a menos que abran el administrador de contraseñas de Keeper y permitan que el software almacene sus contraseñas.
Sin embargo, Microsoft todavía necesita explicar cómo se instala el administrador de contraseñas de Keeper en las computadoras de los usuarios sin su conocimiento.
Mientras tanto, los usuarios pueden usar este ajuste de registro para deshabilitar Content Delivery Manager para evitar que Microsoft instale silenciosamente aplicaciones no deseadas en sus PC.
Fuente: thehackernews