Se ha demostrado un conjunto de métodos de ataque novedosos contra Google Workspace y Google Cloud Platform que los actores de amenazas podrían aprovechar para realizar ataques de ransomware, exfiltración de datos y recuperación de contraseñas.
“A partir de una única máquina comprometida, los actores de amenazas podrían progresar de varias maneras: podrían pasar a otras máquinas clonadas con GCPW instalado, obtener acceso a la plataforma en la nube con permisos personalizados o descifrar contraseñas almacenadas localmente para continuar su ataque más allá del ecosistema de Google”, Martin Zugec, director de soluciones técnicas de Bitdefender, dicho en un nuevo informe.
Un requisito previo para estos ataques es que el malhechor ya haya obtenido acceso a una máquina local a través de otros medios, lo que llevó a Google a marcar el error como no elegible para arreglar “ya que está fuera de nuestro modelo de amenaza y el comportamiento está en línea con las prácticas de Chrome de almacenar datos locales”.
Sin embargo, la empresa rumana de ciberseguridad ha advertido que los actores de amenazas pueden explotar tales brechas para extender el compromiso de un único punto final a una violación en toda la red.
Los ataques, en pocas palabras, se basan en el uso por parte de una organización del Proveedor de credenciales de Google para Windows (GCPW), que ofrece administración de dispositivos móviles (DM) e inicio de sesión único (SSO) capacidades.
Esto permite a los administradores administrar y controlar de forma remota los dispositivos Windows dentro de sus entornos de Google Workspace, además de permitir a los usuarios acceder a sus dispositivos Windows utilizando las mismas credenciales que se utilizan para iniciar sesión en sus cuentas de Google.
GCPW está diseñado para utilizar una cuenta de servicio local privilegiada denominada Administración de ID y cuentas de Google (GAIA) para facilitar sin problemas el proceso en segundo plano al conectarse a las API de Google para verificar las credenciales de un usuario durante el paso de inicio de sesión y almacenar un token de actualización para evitar la necesidad de volver a autenticarse.
Con esta configuración implementada, un atacante con acceso a una máquina comprometida puede extraer los tokens OAuth de actualización de una cuenta, ya sea del registro de Windows o del directorio de perfil de Chrome del usuario, y evitar las protecciones de autenticación multifactor (MFA).
El token de actualización se utiliza posteriormente para crear una solicitud POST HTTP al punto final “https://www.googleapis[.]com/oauth2/v4/token” para obtener un token de acceso, que, a su vez, se puede utilizar para recuperar, manipular o eliminar datos confidenciales asociados con la cuenta de Google.
Un segundo exploit se refiere a lo que se llama el movimiento lateral Golden Image, que se centra en implementaciones de máquinas virtuales (VM) y aprovecha el hecho de que la creación de una máquina mediante la clonación de otra máquina con GCPW preinstalado hace que la contraseña asociada con la cuenta GAIA sea clonado también.
“Si conoce la contraseña de una cuenta local y las cuentas locales en todas las máquinas comparten la misma contraseña, entonces conoce las contraseñas de todas las máquinas”, explicó Zugec.
“Este desafío de contraseña compartida es similar a tener la misma contraseña de administrador local en todas las máquinas, algo que ha sido solucionado por la solución de contraseña de administrador local de Microsoft (VUELTAS). “
El tercer ataque implica el acceso a credenciales de texto sin formato aprovechando el token de acceso adquirido mediante la técnica antes mencionada para enviar una solicitud HTTP GET a un punto final API no documentado y obtener la clave RSA privada necesaria para descifrar el campo de contraseña.
“Tener acceso a credenciales en texto plano, como nombres de usuario y contraseñas, representa una amenaza más grave”, afirmó Zugec. “Esto se debe a que permite a los atacantes hacerse pasar por usuarios legítimos y obtener acceso sin restricciones a sus cuentas, lo que podría conducir a una apropiación total de la cuenta”.