Web Analytics
Conecta con nosotros

Noticias

Microsoft pre-instala un gestor de contraseñas vulnerable en Windows 10

Publicado el
Keeper

El investigador de seguridad del Project Zero de Google, Tavis Ormandy, ha encontrado un plug-in vulnerable del gestor de contraseñas ‘Keeper’ pre-instalado en Windows 10. La vulnerabilidad es crítica «y es un compromiso completo de la seguridad ya que permite a un atacante robar las contraseñas de forma remota», explica.

El investigador (que ya había reportado una vulnerabilidad similar hace meses) encontró el plug-in de la versión de Keeper vulnerable en un sistema Windows 10 recién instalado, descargado directamente desde el Microsoft Developer Network. Para explicar la gravedad de esta vulnerabilidad, Ormandy ha publicado una prueba de concepto que roba la contraseña de Twitter de un usuario.

Ormandy no ha sido el único que ha encontrado este plug-in del gestor pre-instalado y otros usuarios de Reddit se han quejado al encontrar -oculto- este administrador de contraseñas.

A partir de Windows 10 Anniversary (versión 1607), Microsoft añadió una nueva característica denominada Content Delivery Manager que instala silenciosamente nuevas «aplicaciones sugeridas» sin pedir permiso de los usuarios. Parece que los fabricantes no aprenden de la problemática del nefasto Bloatware, fuente relacionada en este caso y escenario repetido, algunos tan graves como el Superfish de Lenovo.

Conviene aclarar que Keeper es uno de los mejores gestores de contraseñas y es seguro. De hecho, el investigador de Google informó previamente al desarrollador de la vulnerabilidad y ésta fue reconocida y corregida de inmediato con una nueva versión del plug-in para navegadores, v.11.4.4. Keeper lo notificó a los clientes y realizó un despliegue automático de la actualización en 24 horas. No hay informes de explotación de la vulnerabilidad y las aplicaciones regulares para escritorio y móvil no se han visto afectadas.

El problema aquí no es Keeper. The Hacker News señala que «Microsoft tiene que aclarar cómo instala un plug-in vulnerable en los equipos de los usuarios sin su conocimiento». No tenemos claro a qué número y tipo de usuarios afecta, pero si no quieres llevarte sorpresas desagradables y tienes activo el Content Delivery Manager, puedes bloquearlo con un sencillo cambio en el registro o directamente con este hack.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

11 comentarios
  • nadadenada

    venga, que con la de defensores que tenemos de M$ por aquí, alguien tiene que ser capaz de sacarle el lado bueno.

  • javron

    yo diria comprados por o vendidos a M$

  • Microsoft no debería de inmiscuirse en que plugins o programas instala cada usuario.
    Dejar instalados programas por defecto en todos los Windows hace más fáciles los ataques a los hackers.

  • iru

    me parece un poco amarillista el titulo seria mas bien allada vulnerabiliad en gestor de contraseñas de microsoft
    como si no hubiera gestores de contraseñas con vulnerabilidades criticas de codigo abierto o otras empresas

  • seba

    Hace rato que la empresa no tiene rumbo.

  • Pablo

    Asi empezaron los ataques de ransomware, con «supuestas» vulnerabilidades no corregidas que estaban presentes en casi todos los equipos con Windows… Preguntense cuantas cosas instala MS sin consentimiento con las actualizaciones COMPULSIVAS de W10 y tantas otras cosas que ni siquiera se imaginan… El que pueda entender que entienda…

  • Ya se tardaron.

  • lol

    Se fueron para —->

  • nem
  • Hermano, todos entendemos, ésto es una conspiración.
    Microsoft hace esto a propósito para destruir la vida de las personas y así hacer más dinero vendiendo licencias.

    Linux Ackbar.

  • Hermano, no hay defensa posible, es totalmente indefendible y anormal que un software haya incluido una función que posteriormente y eventualmente presente una vulnerabilidad.

    ¿Qué vendrá luego? ¿Software que requiera actualizaciones de seguridad?.
    Menos mal existe Linux donde el software no tiene vulnerabilidades.

    Linux Ackbar.

Lo más leído