Ghosttoken: un error de día cero que permite a los piratas informáticos crear cuentas de Google invisibles

Una empresa de ciberseguridad israelí, Astrix’s Security Research Group, descubrió una vulnerabilidad de día 0 en la plataforma en la nube de Google (GCP) denominada Ghosttoken el 19 de junio de 2022, que afecta a todos los usuarios de Google.

La vulnerabilidad “GhostToken” podría permitir a los actores de amenazas hacer que una aplicación maliciosa sea “invisible e inamovible” y, en última instancia, infectar permanentemente la cuenta de Google de la víctima con una aplicación troyana.

El 7 de abril de 2023, Google emitió formalmente un parche para la vulnerabilidad de GhostToken. Los atacantes pueden hacer que las aplicaciones maliciosas sean invisibles después de ser autorizadas y vinculadas a un token OAuth que les otorga acceso a la cuenta de Google.

Los atacantes pueden ocultar su aplicación maliciosa de la página de administración de aplicaciones de la cuenta de Google de la víctima mediante el uso de la vulnerabilidad GhostToken.

El exploit hace que la aplicación maliciosa no se pueda eliminar de la cuenta de Google. Entonces, el atacante tiene un token ‘fantasma’ en la cuenta de la víctima.

“Dado que este es el único lugar donde los usuarios de Google pueden ver sus aplicaciones y revocar su acceso, el exploit hace que la aplicación maliciosa no se pueda eliminar de la cuenta de Google”, dijeron los investigadores de Astrix Security .

“Debido a que la aplicación está completamente oculta a la vista de la víctima, se les impide siquiera saber que su cuenta está en riesgo en primer lugar, e incluso si lo sospechan, no pueden hacer nada más que crear una nueva cuenta de Google. ”

¿Cómo se utiliza un GhostToken?

Los investigadores dicen que los atacantes podrían leer los mensajes privados de Gmail de la víctima, acceder a sus archivos en Google Drive y Google Photos, ver los próximos eventos en su calendario de Google, encontrarlos usando Google Maps y dar acceso a los servicios de Google Cloud Platform de la víctima dependiendo de los permisos que las víctimas otorgan a la aplicación maliciosa.  

En el peor de los casos, los atacantes pueden eliminar archivos de Google Drive, enviar correos electrónicos desde la cuenta de Gmail de la víctima para realizar ataques de ingeniería social, robar datos confidenciales de Google Calendar, Photos o Docs, y más.

En particular, los atacantes simplemente necesitaban eliminar el proyecto GCP asociado para poner las aplicaciones maliciosas autorizadas por las víctimas en un estado de “eliminación pendiente” para ocultarlas.

Sin embargo, luego de la restauración del proyecto, se les daría un token de actualización para recuperar un token de acceso nuevo para acceder a los datos de las víctimas.

Estas acciones se pueden realizar sin cesar, lo que permite a los atacantes eliminar y restaurar el proyecto GCP cada vez que necesitan acceder a los datos de la víctima para ocultar la aplicación maliciosa.

” alt=”” aria-hidden=”true” />

Flujo de ataque de GhostToken

Con la ayuda del parche de Google, los usuarios ahora pueden eliminar las aplicaciones GCP OAuth en estados de “eliminación pendiente” de la página “Aplicaciones con acceso a su cuenta”, lo que evita los intentos de apropiación de la cuenta.

Astrix aconseja a los usuarios de Google que verifiquen todas las aplicaciones de terceros autorizadas en la “página de administración de aplicaciones de su cuenta” para asegurarse de que solo tengan los permisos necesarios para funcionar.

“En el mundo actual de ataques comunes, escenarios de amenazas complicados y superficies de ataque aumentadas exponencialmente, los controles de seguridad de rutina que eliminan cualquier acceso de terceros innecesario, no utilizado o con privilegios excesivos también deben buscar vulnerabilidades similares a GhostToken”, dicen los investigadores.