La plataforma en la nube de Google (GCP) era vulnerable a una falla de día cero que permitía a los actores de amenazas acceder a las cuentas de las personas y a todos los datos encontrados allí (Gmail, Drive, Docs, Photos y más), dicen los investigadores.
Los expertos de Astrix Security descubrieron que un actor de amenazas podría crear una aplicación maliciosa de Google Cloud Platform y anunciarla a través de Google Marketplace o de proveedores externos.
Si un usuario instala la aplicación, la autoriza y la vincula a un token de OAuth, les dará a los atacantes acceso a su cuenta de Google.
Ocultar la aplicación de las víctimas
Los actores de amenazas podrían hacer que la aplicación sea invisible y ocultarla de la página de administración de aplicaciones de Google, lo que imposibilitaría que las víctimas aborden la vulnerabilidad. El método de «ocultar» la aplicación es donde se encuentra el día cero: al eliminar el proyecto de GCP vinculado, los atacantes harían que la aplicación entrara en un estado de «eliminación pendiente» y, por lo tanto, la harían invisible en la página de administración de la aplicación.
«Dado que este es el único lugar donde los usuarios de Google pueden ver sus aplicaciones y revocar su acceso, el exploit hace que el malicioso (se abre en una pestaña nueva) aplicación no se puede eliminar de la cuenta de Google», dijeron los investigadores.
Luego, cuando los atacantes lo consideraran oportuno, podrían restaurar el proyecto, obtener un token nuevo y recuperar los datos de la cuenta de la víctima. Además, podrían ser capaces de hacer esto indefinidamente. «El atacante, por otro lado, como quiera, puede mostrar su aplicación y usar el token para acceder a la cuenta de la víctima, y luego ocultar rápidamente la aplicación nuevamente para restaurar su estado inamovible. En otras palabras, el atacante tiene un ‘fantasma’ ficha a la cuenta de la víctima».
Astrix llamó a la falla – GhostToken.
También es importante mencionar que el impacto de la falla depende en gran medida de los permisos que las víctimas otorgan a las aplicaciones maliciosas.
La vulnerabilidad se descubrió en el verano de 2022 y se abordó en abril de este año. Ahora, las aplicaciones GCP OAuth pendientes de eliminación aún aparecen en la página «Aplicaciones con acceso a su cuenta».
- Aquí está nuestro resumen de los mejores cortafuegos (se abre en una pestaña nueva) allí afuera
Vía: BleepingComputer (se abre en una pestaña nueva)