La falla de GhostToken GCP que permite a los atacantes tener cuentas de Google

Google ha abordado una vulnerabilidad de seguridad de Cloud Platform (GCP) que afecta a todos los usuarios y permite a los atacantes mantener sus cuentas por la puerta trasera utilizando aplicaciones OAuth maliciosas instaladas desde Google Marketplace o proveedores externos.

Llamada GhostToken por Astrix Security, la startup israelí de ciberseguridad que lo encontró y lo informó a Google en junio de 2022, esta falla de seguridad se abordó a través de un parche global que se lanzó a principios de abril de 2023.

Después de ser autorizadas y vinculadas a un token OAuth que le da acceso a la cuenta de Google, las aplicaciones maliciosas podrían ser invisibilizadas por los atacantes después de explotar esta vulnerabilidad.

Esto ocultaría la aplicación de la página de administración de aplicaciones de Google, el único lugar donde los usuarios de Google pueden administrar aplicaciones conectadas a sus cuentas.

"Dado que este es el único lugar donde los usuarios de Google pueden ver sus aplicaciones y revocar su acceso, el exploit hace que la aplicación maliciosa no se pueda eliminar de la cuenta de Google", dijo Astrix Security.

"El atacante, por otro lado, como quiera, puede mostrar su aplicación y usar el token para acceder a la cuenta de la víctima, y luego ocultar rápidamente la aplicación nuevamente para restaurar su estado inamovible. En otras palabras, el atacante tiene un token 'fantasma' en la cuenta de la víctima".

Para ocultar aplicaciones maliciosas autorizadas por las víctimas, los atacantes solo tenían que hacerlas entrar en un estado de "eliminación pendiente" eliminando el proyecto GCP vinculado.

Sin embargo, después de restaurar el proyecto, se les proporcionaría un token de actualización que permitía recuperar un nuevo token de acceso que podría usarse para obtener acceso a los datos de las víctimas.

Estos pasos podrían repetirse en un bucle, permitiendo a los atacantes eliminar y restaurar el proyecto GCP para ocultar la aplicación maliciosa cada vez que necesiten acceso a los datos de la víctima.


El impacto del ataque depende de los permisos otorgados a las aplicaciones maliciosas instaladas por las víctimas.

La vulnerabilidad "permite a los atacantes obtener acceso permanente e inamovible a la cuenta de Google de una víctima al convertir una aplicación de terceros ya autorizada en una aplicación troyana maliciosa, dejando los datos personales de la víctima expuestos para siempre", dijo Astrix Security Research Group.

"Esto puede incluir datos almacenados en las aplicaciones de Google de la víctima, como Gmail, Drive, Docs, Photos y Calendar, o los servicios de Google Cloud Platform (BigQuery, Google Compute, etc.)".

El parche de Google permite que las aplicaciones de GCP OAuth en estados de "eliminación pendiente" aparezcan en la página "Aplicaciones con acceso a su cuenta", lo que permite a los usuarios eliminarlas y proteger sus cuentas de intentos de secuestro.

Astrix aconseja a todos los usuarios de Google que visiten la página de administración de aplicaciones de su cuenta y verifiquen todas las aplicaciones autorizadas de terceros, asegurándose de que cada una de ellas tenga solo los permisos que necesitan para funcionar.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta