Yubico emite alerta de seguridad a los usuarios de Windows YubiKey
AFP vía Getty Images
Cuando se trata de autenticación de usuarios, hay una variedad de opciones, desde contraseñas en el lado débil hasta claves de hardware en el otro lado. Pero, ¿qué pasa si las claves de seguridad de hardware que utiliza podrían exponer potencialmente su sistema operativo a ataques? Yubico, el proveedor de seguridad detrás de la línea de productos YubiKey, ha emitido una advertencia de seguridad para los usuarios de Windows sobre ese escenario.
Aviso de seguridad de Yubico YSA-2024-01
Se considera, con razón, que Yubico tiene uno de los productos de autenticación más seguros en la línea de claves de seguridad de hardware de YubiKey. Si necesita pruebas de ello, simplemente mire las entradas en la página de avisos de seguridad de Yubico de los últimos tres años, ninguna para 2022 y una para 2023 y 2024. Lo soy. Este último afecta a los usuarios de Windows, pero no a aquellos que utilizan Edge como cliente de navegador web.
ForbesSorpresa de seguridad de Windows: Microsoft confirma 90 nuevas vulnerabilidades
El aviso de seguridad de Yubico YSA-2024-01 se refiere al software YubiKey Manager con una vulnerabilidad que podría conducir a ataques de escalada de privilegios contra usuarios de Windows. Esta vulnerabilidad aparece como CVE-2024-31498 y tiene una calificación del sistema de puntuación de vulnerabilidad común de 7,7. Esto significa que no se trata de un problema grave, sino de un problema de alto riesgo.
Yubico afirma: “Si un usuario ejecuta la GUI de YubiKey Manager como administrador, las ventanas del navegador abiertas por la GUI de YubiKey Manager pueden abrirse como administrador, lo que un atacante local podría aprovechar para llevar a cabo acciones como administrador”. ” Esto puede parecer preocupante, pero lo es. Un atacante que ya necesita acceso local a una máquina Windows objetivo podría utilizar esta escalada de privilegios para comprometer aún más el sistema. “Un atacante podría aprovechar este problema para intensificar los ataques locales y aumentar el impacto de los ataques basados en navegador”, advierte Yubico.
Fallos de seguridad críticos encontrados en los 4 principales correos electrónicos de Forbes: Apple, Gmail, Outlook, YahooBy
Software y sistemas afectados
CVE-2024-31498 afecta a las versiones de YubiKey Manager anteriores a la 1.2.6 y a los usuarios de Windows que no utilizan Edge como navegador predeterminado. Yubico explica que sólo los usuarios de Windows se ven afectados porque el sistema operativo requiere privilegios de administrador para interactuar con los sistemas de autenticación FIDO como YubiKey. Otros sistemas operativos no requieren este nivel de privilegios elevados.Por lo tanto, los usuarios de Windows pueden[バージョン情報]Te recomendamos hacer clic en el menú para ver qué versión estás utilizando. Las versiones anteriores a la 1.2.6 deben actualizarse en consecuencia. Puede descargar la última versión de YubiKey Manager directamente desde el sitio web de Yubico o GitHub.
Mitigaciones adicionales para las vulnerabilidades de YubiKey Manager
Fast IDentity Online Alliance, en forma de FIDO2, es un estándar de autenticación abierto que puede proporcionar opciones de autenticación sin contraseña de uno, dos factores y múltiples factores. Yubico recomienda que los usuarios que no requieren la funcionalidad FIDO no necesiten ejecutar la GUI de YubiKey Manager como usuario con privilegios elevados. Los usuarios de Windows también pueden configurar Microsoft Edge como su navegador web predeterminado. Este navegador ya incluye una mitigación que evita que esta vulnerabilidad herede privilegios administrativos cuando se inicia. Dicho esto, no recomendamos cambiar de su navegador preferido a Edge. Si opta por la ruta de actualización de software, no tendrá que cambiar.
Fuente: https://www.forbes.com/sites/daveywinder/2024/04/12/yubico-issues-yubikey-security-alert-for-windows-users/