Investigadores de seguridad cibernética revelaron detalles de una vulnerabilidad de día cero ya parcheada en Google Cloud Platform (GCP), que podría haber permitido a los hackers de amenazas ocultar una aplicación maliciosa inamovible dentro de la cuenta de Google de una víctima.
Apodado GhostToken por la startup israelí de seguridad cibernética Astrix Security, la deficiencia afecta a todas las cuentas de Google, incluyendo las cuentas de Workspace centradas en empresas. Se descubrió y se informó a Google el 19 de junio de 2022. La empresa implementó un parche global más de nueve meses después, el 7 de abril de 2023.
En pocas palabras, la vulnerabilidad hace posible que un atacante oculte su aplicación maliciosa de la página de administración de aplicaciones de la cuenta de Google de la víctima, lo que evita que los usuarios revoquen su acceso.
Esto se logra eliminando el proyecto de GCP asociado con la aplicación de OAuth autorizada, lo que hace que entre en un estado de «eliminación pendiente». El hacker, armado con esta capacidad, podría mostrar la aplicación no autorizada al restaurar el proyecto y usar el token de acceso para obtener los datos de la víctima y volverla invisible.
El tipo de datos a los que se puede acceder depende de los permisos otorgados a la aplicación, de los cuales los adversarios pueden abusar para eliminar archivos de Google Drive, escribir correos electrónicos en nombre de la víctima para realizar ataques de ingeniería social, rastrear ubicaciones y filtrar datos confidenciales de Google, Calendario, Fotos y Drive.
El parche de Google soluciona el problema al mostrar ahora las aplicaciones que están en estado pendiente de eliminación en la página de acceso de terceros, lo que permite a los usuarios revocar el permiso otorgado a dichas aplicaciones.
El desarrollo se produce cuando Google Cloud solucionó una vulnerabilidad de escalada de privilegios en la API de inventario de activos en la nube denominada ladrón de claves de activos, que podría explotarse para el robo de claves privadas de cuentas de servicio administradas por el usuario y obtener acceso a datos valiosos. El problema, que fue descubierto por SADA a inicios de febrero, fue reparado por la compañía el 14 de marzo de 2023.
Muy bueno