Duas vulnerabilidades recentemente descobertas (CVE-2024-42219 e CVE-2024-42218) na versão para macOS do popular gerenciador de senhas 1Password podem permitir que malwares acessem segredos armazenados nos cofres do software e obtenham a chave de desbloqueio da conta. A AgileBits, desenvolvedora do 1Password, confirmou a existência dessas falhas.
Essas vulnerabilidades foram identificadas pela equipe de segurança da Robinhood Red Team durante uma avaliação do 1Password para Mac e, em seguida, relatadas de forma confidencial à AgileBits. As falhas foram corrigidas nas versões v8.10.36 (lançada em 9 de julho) e v8.10.38 (lançada em 6 de agosto).
A AgileBits informou que não há registros de que essas vulnerabilidades tenham sido descobertas ou exploradas por terceiros.
A CVE-2024-42219 permite que um malware em execução localmente em um dispositivo ignore as proteções de comunicação entre processos.
"Um invasor pode explorar as validações interprocessos específicas do macOS para sequestrar ou se passar por uma integração confiável do 1Password, como a extensão do navegador ou a CLI do 1Password", explica a AgileBits.
Já a CVE-2024-42218 pode permitir que hackers contornem os mecanismos de segurança do macOS ao explorar versões desatualizadas do 1Password para Mac.
"Para explorar essa falha, o invasor precisa executar um software malicioso em um computador com o 1Password para Mac. Caso consiga carregar uma versão antiga do 1Password, o invasor poderá acessar os segredos armazenados no macOS Keychain", detalha o comunicado.
Essa vulnerabilidade aproveita brechas em versões antigas do 1Password que não possuem as medidas de segurança implementadas nas versões mais recentes. Um hacker pode utilizar essas versões desatualizadas para comprometer as edições mais modernas do aplicativo.
Em ambos os casos, a exploração das falhas permitiria que malwares "roubassem itens do cofre e obtivessem valores derivados usados para fazer login no 1Password, incluindo a chave de desbloqueio da conta (AUK) e o protocolo SRP."
Essas vulnerabilidades afetam exclusivamente o 1Password para Mac.
Usuários que não ativaram a opção de “Instalar atualizações automaticamente” devem atualizar para a versão mais recente do software o quanto antes.
A existência dessas vulnerabilidades foi mantida em sigilo até esta semana, quando os avisos de segurança foram publicados e as notas de versão do software foram atualizadas.
A equipe da Robinhood Red Team apresentará sua pesquisa na DEF CON neste sábado, onde mais detalhes sobre as falhas serão revelados.
O CTO da 1Password, Pedro Canahuati, forneceu mais informações sobre as descobertas da Robinhood Red Team, observando que todas as vulnerabilidades exigem que o dispositivo esteja comprometido por malware.
Além das falhas CVE-2024-42219 e CVE-2024-42218, foi identificada uma terceira vulnerabilidade que permitia aos hackers modificar configurações do 1Password alterando-as diretamente em um arquivo JSON desprotegido no disco. Essa falha foi corrigida em agosto.
"O único problema não resolvido envolve como navegadores baseados em Chromium (como Chrome, Edge, Brave, etc.) e Firefox gerenciam a comunicação entre extensões de navegador e aplicativos de desktop. O canal de comunicação entre o aplicativo e a extensão pode ser falsificado, permitindo que um hacker local finja ser o navegador e se comunique com o 1Password para obter segredos do usuário", explicou Canahuati.
"Esse problema não pode ser resolvido, pois os aplicativos de desktop que se comunicam com navegadores não conseguem verificar se o navegador está sendo controlado por malware. Infelizmente, não há tecnologia alternativa ou mais segura disponível para solucionar esse problema."
Via - HNS
Comments