Investigadores de ciberseguridad han revelado detalles de un fallo de día cero ya parcheado en Google Cloud Platform (GCP) que podría haber permitido a los actores de amenazas ocultar una aplicación maliciosa inamovible dentro de la cuenta de Google de una víctima.
Bautizado como GhostToken por la startup israelí de ciberseguridad Astrix Security, el fallo afecta a todas las cuentas de Google, incluidas las de Workspace destinadas a empresas. Fue descubierto y comunicado a Google el 19 de junio de 2022. La compañía desplegó un parche global más de nueve meses después, el 7 de abril de 2023.
"La vulnerabilidad permite a los atacantes obtener acceso permanente e inamovible a la cuenta de Google de una víctima convirtiendo una aplicación de terceros ya autorizada en una aplicación troyana maliciosa, dejando los datos personales de la víctima expuestos para siempre", dijo Astrix en un informe.
En pocas palabras, el fallo permite a un atacante ocultar su aplicación maliciosa de la página de gestión de aplicaciones de la cuenta de Google de la víctima, impidiendo así que los usuarios puedan revocar su acceso.
Esto se consigue borrando el proyecto GCP asociado a la aplicación OAuth autorizada, haciendo que pase a un estado de "borrado pendiente". El actor de la amenaza, armado con esta capacidad, podría entonces desocultar la aplicación fraudulenta restaurando el proyecto y utilizar el token de acceso para obtener los datos de la víctima, y hacerla invisible de nuevo.
"En otras palabras, el atacante posee un token 'fantasma' de la cuenta de la víctima", explica Astrix.
El tipo de datos a los que se puede acceder depende de los permisos concedidos a la app, de los que los adversarios pueden abusar para borrar archivos de Google Drive, escribir correos electrónicos en nombre de la víctima para realizar ataques de ingeniería social, rastrear ubicaciones y exfiltrar datos confidenciales de Google Calendar, Fotos y Drive.
"Las víctimas pueden autorizar sin saberlo el acceso a estas aplicaciones maliciosas instalando una app aparentemente inocente del Google Marketplace o una de las muchas herramientas de productividad disponibles en línea", añadió Astrix.
"Una vez autorizada la app maliciosa, un atacante que explote la vulnerabilidad puede saltarse la función de gestión de "Apps con acceso a tu cuenta" de Google, que es el único lugar donde los usuarios de Google pueden ver las apps de terceros conectadas a su cuenta."
El parche de Google soluciona el problema mostrando ahora las apps que se encuentran en estado pendiente de eliminación en la página de acceso de terceros, lo que permite a los usuarios revocar el permiso concedido a dichas apps.
La novedad llega cuando Google Cloud ha corregido un fallo de escalada de privilegios en la API de inventario de activos en la nube, denominado Asset Key Thief (ladrón de claves de activos), que podía aprovecharse para robar claves privadas de cuentas de servicio gestionadas por usuarios y acceder a datos valiosos. El problema, descubierto por SADA a principios de febrero, fue parcheado por el gigante tecnológico el 14 de marzo de 2023.
Los hallazgos se producen poco más de un mes después de que la empresa de respuesta a incidentes en la nube Mitiga revelara que los adversarios podían aprovecharse de la "insuficiente" visibilidad forense de GCP para filtrar datos sensibles.
Fuente: thehackernews