Thycotic, un fabricante de control de acceso y otros productos de seguridad, ha remediado una vulnerabilidad de cross-site scripting en uno de sus productos, ésta permitía a un atacante robar las contraseñas almacenadas de su víctima.

La vulnerabilidad esta en el producto Secret Server de la compañía, el cual está diseñado para proveer gestión de contraseñas para empresas. Marco Delai, un investigador en Compass Security en suiza, descubrió la falla stored XSS en el software y la reportó a la empresa.

"La vulnerabilidad identificada (stored Cross-Site Scripting) permite la ejecución de código JavaScript en el navegador de un usuario válido al alternar la máscara de la contraseña en una contraseña especialmente diseñada. Esto permite, por ejemplo, preparar una contraseña compartida que cuando sea leída por otro usuario, pueda robar todas las demás contraseñas a las que la víctima tenga acceso", dijo el asesor.

La falla afecta las versiones 8.6. 8.6.000000 a la 8.8.000004 de Thycotic Secret Server y es corregida en la versión 8.8.000005.

Delai dijo en el aviso que explotar la vulnerabilidad es un proceso simple. "Crear una nueva entrada de contraseña dentro de Secret Server con el siguiente valor: Compass Security<script>alert("Compass Security")</script>. Abrir el tablero de herramientas básicas y alternar la máscara de la contraseña. La contraseña se recupera desde el servidor mediante una llamada AJAX y su valor se añade directamente a la página del DOM sin validación. Por lo tanto, la secuencua de comandos realizada en el paso uno se ejecuta", dice el aviso.

Los ataques Stored XSS implican que un atacante almacene código malicioso en un servidor objetivo, en el cual la víctima, después de golpear en algún punto del mismo, lleva a la explotación de la vulnerabilidad.