Una vulnerabilità zero-day che interessa le estensioni per browser di undici gestori di password può consentire il furto di credenziali.
Autore: Redazione SecurityOpenLab
La sicurezza dei gestori di password è tornata sotto i riflettori grazie a una ricerca presentata alla conferenza DEFCON 33 dal ricercatore di sicurezza Marek Tóth, che ha portato alla luce una vulnerabilità critica in undici estensioni del browser di password manager, fra cui 1Password, LastPass, KeePass e altri. Il problema fa riferimento a una vulnerabilità 0-Day di clickjacking che ha il potenziale per esporre decine di milioni di utenti a rischi concreti di furto credenziali.
Alla base dell’attacco individuato da Tóth c’è una tecnica denominata DOM-based extension clickjacking. Attraverso la manipolazione del Document Object Model (DOM) di una pagina web, l’attaccante riesce a nascondere – ad esempio utilizzando il CSS con la proprietà opacity: 0 – degli elementi della schermata associati ai password manager, come i menu di autofill. Così facendo, senza rendersene conto l’utente interagisce con componenti apparentemente innocui come banner dei cookie, CAPTCHA o finestre popup, attivando involontariamente funzioni privilegiate dell’estensione, come l’auto completamento di username e password.
Il trucco è particolare perché in genere nel clickjacking vengono sovrapposti elementi trasparenti su pulsanti. In questo caso, invece, l’attacco sfrutta la capacità degli script JavaScript su siti malevoli di incorporare e occultare le interfacce delle estensioni del browser direttamente nel DOM. Questo permette di attivare l’autofill (l’auto completamento) con una sola interazione dell’utente – anche un semplice clic per chiudere un banner. In maniera del tutto invisibile, tale clic porterà a riempire campi invisibili con username, password, codici 2FA, dati di carte di credito. Va da sé che queste informazioni verranno esfiltrate dagli script malevoli senza che il malcapitato utente ne abbia contezza.
Il ricercatore ha dimostrato che è possibile anche identificare in tempo reale quale password manager sia attivo nel browser della vittima e adattare l’attacco di conseguenza, in modo che la minaccia sia versatile e scalabile. Non solo: test indipendenti condotti da altri ricercatori hanno confermato che questa tecnica potrebbe consentire l’esfiltrazione di tutto contenuto della cassaforte digitale della vittima.
Tra i prodotti vulnerabili (alcuni ancora senza patch al momento della divulgazione) ci sono le estensioni per browser di 1Password, Bitwarden, Dashlane, Enpass, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass, RoboForm.
Gli esperti stimano che sono potenzialmente coinvolti circa 40 milioni di utenti. Stando alle fonti, 1Password ha minimizzato la gravità dell’attacco derubricandolo come “out-of-scope” e ha puntato il dito contro un problema strutturale del web, non risolvibile solo con una patch. Altri vendor, fra cui LastPass che in passato è già stato colpito da problemi, hanno promesso notifiche popup prima dell’autofill e altre contromisure per avvisare l’utente di quello che sta accadendo. Bitwarden ha riconosciuto la vulnerabilità e distribuito una patch. Keeper, Dashlane, NordPass, ProtonPass, RoboForm hanno pubblicato tempestivamente aggiornamenti che bloccano la tecnica descritta.
La risposta frammentata è evidentemente frutto della mancanza di una linea comune, che è di per sé la causa di problema serio. Come fa notare Tóth, la fiducia nell’ecosistema dei password manager poggia su presupposti fragili, che ovviamente rischiano di cadere davanti a problemi di sicurezza come quello emerso. È evidente quindi la necessità di evolvere la gestione delle credenziali verso modello più sicuri.
Nel frattempo che cosa devono fare gli utenti per tutelarsi? I ricercatori di sicurezza consigliano di disattivare temporaneamente l’autofill automatico nelle estensioni dei password manager e – dove possibile - utilizzare le applicazioni desktop, non le estensioni dei browser.