Las cuentas de Google son vulnerables por un nuevo hackeo

Iniciado por AXCESS, Diciembre 29, 2023, 07:37:55 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 29, 2023, 07:37:55 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un nuevo método supuestamente permite a los piratas informáticos explotar la funcionalidad del protocolo de autorización OAuth2 para comprometer las cuentas de Google y mantener sesiones válidas regenerando cookies a pesar del restablecimiento de la IP o la contraseña.

Según la firma de seguridad CloudSEK, un actor de amenazas bajo el alias PRISMA se jactó de un potente exploit de día cero y desarrolló una solución sofisticada para generar cookies persistentes de Google mediante la manipulación de tokens.

"Este exploit permite el acceso continuo a los servicios de Google, incluso después de restablecer la contraseña del usuario".

OAuth 2.0 significa "Autorización Abierta 2.0" y es un protocolo ampliamente utilizado para proteger y autorizar el acceso a recursos en Internet. Facilita la verificación de la identidad del usuario accediendo a sus cuentas de redes sociales, como Google o Facebook.

El equipo de investigación de amenazas de CloudSEK identificó la raíz del exploit en un punto final no documentado de Google Oauth llamado "MultiLogin". Este es un mecanismo interno diseñado para sincronizar cuentas de Google entre servicios, lo que garantiza que los estados de las cuentas del navegador se alineen con las cookies de autenticación de Google.

El desarrollador del exploit "expresó su disposición a cooperar", lo que aceleró el descubrimiento del punto final responsable de regenerar las cookies.

El exploit, incorporado en un malware llamado Lumma Infostealer el 14 de noviembre, cuenta con dos características clave: persistencia de sesión y generación de cookies. Para filtrar los secretos, tokens e ID de cuenta necesarios, el malware se dirige a la tabla token_service de Chrome de WebData de los perfiles de Chrome conectados.

"La sesión sigue siendo válida incluso cuando se cambia la contraseña de la cuenta, lo que proporciona una ventaja única para eludir las medidas de seguridad típicas", cita el informe a PRISMA. "La capacidad de generar cookies válidas en caso de interrupción de la sesión mejora la capacidad del atacante para mantener el acceso no autorizado".

Los investigadores notaron una tendencia preocupante de rápida integración de exploits entre varios grupos de Infostealer. Creen que la explotación del punto final indocumentado Google OAuth2 MultiLogin proporciona un ejemplo de sofisticación de libro de texto, ya que el enfoque depende de una manipulación matizada del token GAIA ID (administración de ID y cuentas de Google). El malware enmascara el mecanismo de explotación mediante una capa de cifrado.

"Esta técnica de explotación demuestra un mayor nivel de sofisticación y comprensión de los mecanismos de autenticación internos de Google. Al manipular el par token: GAIA ID, Lumma puede regenerar continuamente cookies para los servicios de Google. Aún más alarmante es el hecho de que este exploit sigue siendo efectivo incluso después de que los usuarios hayan restablecido sus contraseñas. Esta persistencia en el acceso permite una explotación prolongada y potencialmente desapercibida de las cuentas y los datos de los usuarios", concluyó el equipo de CloudSEK.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario