lunes, 26 de abril de 2021

El administrador de contraseñas Passwordstate utilizado por 29.000 empresas se ha visto comprometido

 

La empresa australiana Click Studios, detrás del desarrollo del administrador de contraseñas Passwordstate, notificó recientemente a sus clientes sobre el hack.

Passwordstate es una solución de administración de contraseñas local que, según las estadísticas oficiales de los desarrolladores, es utilizada por más de 370.000 profesionales de TI y seguridad de la información en 29.000 empresas de todo el mundo.

La carta recibida por todas las empresas clientes de Passwordstate afirma que el incidente ocurrió entre el 20 y el 22 de abril de 2021. La empresa sufrió un ataque a la cadena de suministro: los atacantes distribuyeron una actualización maliciosa a los usuarios de Passwordstate y finalmente infectaron las máquinas con el malware Moserware.

"Cualquier actualización local realizada entre el 20 de abril a las 8:33 p. M. UTC y el 22 de abril a las 0:30 a. M. UTC puede haber dado lugar a la descarga de un archivo Passwordstate_ipgrade.zip [..] modificado de un CDN no controlado por Click Studios , "- dicen en la empresa.

El archivo mencionado Passwordstate_upgrade.zip contenía un archivo DLL con ( moserware.secretsplitter.dll ), que, después de la instalación, comenzó a hacer ping al servidor C&C remoto de los delincuentes, solicitando nuevos comandos y recibiendo cargas útiles adicionales.

Según los expertos de Click Studios ( 1 , 2 ), el malware logró transferir los siguientes datos de usuario al servidor de los delincuentes: nombre de la computadora, nombre de usuario, nombre de dominio, nombre del proceso actual, ID del proceso actual, nombre e ID de todos los procesos en ejecución, nombres de todos los servicios en ejecución, nombre para mostrar y estado, dirección de proxy de estado de contraseña, nombre de usuario y contraseña.

Es decir, el almacén de contraseñas de Passwordstate se ha visto comprometido y los desarrolladores escriben que, por lo general, la tabla de contraseñas contiene un encabezado, nombre de usuario, descripción, GenericField1, GenericField2, GenericField3, notas, URL y la contraseña en sí.

Al mismo tiempo, los especialistas de SentinelOne  advierten que los atacantes tienen acceso gratuito a herramientas que les ayudarán a descifrar las bóvedas de Passwordstate y recuperar las contraseñas de las víctimas.

Click Studios ya ha preparado un paquete de revisión ( ZIP ) para ayudar a los clientes a eliminar el malware Moserware de sus máquinas. Aunque aún se desconoce el número exacto de víctimas, se recomienda a todos los clientes de la empresa que cambien todas las contraseñas que se almacenaron en el estado de contraseñas comprometido lo antes posible; cambiar todas las credenciales de la infraestructura interna de la empresa; restablecer todos los demás inicios de sesión y contraseñas.

 

Fuente: https://xakep.ru/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

 

No hay comentarios:

Publicar un comentario

Más leídas este mes