Investigadores de seguridad cibernética han revelado detalles de una falla de día cero ahora parcheada en Google Cloud Platform (GCP) que puede haber permitido a los atacantes ocultar una aplicación maliciosa inamovible en la cuenta de Google de la víctima.
sincronizado fichafantasma por la startup de ciberseguridad israelí Astrix Security, la vulnerabilidad afecta a todas las cuentas de Google, incluidas las cuentas de Workspace centradas en empresas. Fue descubierto el 19 de junio de 2022 y reportado a Google. La empresa implementó un parche global más de nueve meses después, el 7 de abril de 2023.
«La vulnerabilidad […] permite a los atacantes obtener acceso persistente e inamovible a la cuenta de Google de una víctima al convertir una aplicación de terceros ya autorizada en una aplicación de caballo de Troya maliciosa, dejando la información personal de la víctima vulnerable para siempre», dijo Astrix en un informe.
En resumen, la falla permite que un atacante oculte su aplicación maliciosa de la página de administración de aplicaciones de la cuenta de Google de la víctima, lo que evita que los usuarios revoquen el acceso.
Esto se logra eliminando el proyecto de GCP asociado con la aplicación de OAuth autorizada, lo que lo pone en estado de eliminación pendiente. El atacante equipado con esta habilidad podría hacer que la aplicación no autorizada sea visible al restaurar el proyecto y usar el token de acceso para obtener los datos de la víctima y volverla invisible.
«En otras palabras, el atacante tiene un token ‘fantasma’ en la cuenta de la víctima», dijo Astrix.
El tipo de datos a los que se puede acceder depende de los permisos otorgados a la aplicación, de los cuales los atacantes pueden abusar para eliminar archivos de Google Drive, escribir correos electrónicos en nombre de la víctima, lanzar ataques de ingeniería social, rastrear ubicaciones y filtrar datos confidenciales de Google. Calendario, Fotos y Drive.
«Las víctimas pueden, sin saberlo, autorizar el acceso a tales aplicaciones maliciosas al instalar una aplicación aparentemente inofensiva de Google Marketplace o una de las muchas herramientas de productividad disponibles en línea», agregó Astrix.
Zero Trust + Deception: ¡Aprende a burlar a los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener movimientos laterales y mejorar su estrategia de confianza cero. ¡Únase a nuestro seminario web perspicaz!
¡Guarda mi lugar!
«Una vez que se autoriza la aplicación maliciosa, un atacante que explote la vulnerabilidad puede eludir la función de administración de «Aplicaciones con acceso a su cuenta» de Google, que es el único lugar donde los usuarios de Google pueden ver las aplicaciones de terceros asociadas con su cuenta».
El parche de Google soluciona el problema al mostrar ahora las aplicaciones con estado de eliminación pendiente en la página de acceso de terceros, lo que permite a los usuarios revocar los permisos otorgados a dichas aplicaciones.
El desarrollo se produce cuando Google Cloud corrige una falla de escalada de privilegios en la API de Cloud Asset Inventory llamada Asset Key Thief, que podría explotarse para robar claves privadas de cuentas de servicio administradas por usuarios y obtener acceso a datos valiosos. El problema, descubierto por SADA a principios de febrero, fue reparado por el gigante tecnológico el 14 de marzo de 2023.
Los hallazgos se producen poco más de un mes después de que la firma de respuesta a incidentes en la nube Mitiga revelara que los atacantes podrían explotar la visibilidad forense «insuficiente» en GCP para filtrar datos confidenciales.