{"id":1049658,"date":"2023-11-16T22:03:00","date_gmt":"2023-11-16T22:03:00","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-podrian-aprovechar-google-workspace-y-la-plataforma-en-la-nube-para-realizar-ataques-de-ransomware\/"},"modified":"2023-11-16T22:03:04","modified_gmt":"2023-11-16T22:03:04","slug":"los-piratas-informaticos-podrian-aprovechar-google-workspace-y-la-plataforma-en-la-nube-para-realizar-ataques-de-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-podrian-aprovechar-google-workspace-y-la-plataforma-en-la-nube-para-realizar-ataques-de-ransomware\/","title":{"rendered":"Los piratas inform\u00e1ticos podr\u00edan aprovechar Google Workspace y la plataforma en la nube para realizar ataques de ransomware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de noviembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Seguridad en la nube\/ransomware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Los-piratas-informaticos-podrian-aprovechar-Google-Workspace-y-la-plataforma.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha demostrado un conjunto de m\u00e9todos de ataque novedosos contra Google Workspace y Google Cloud Platform que los actores de amenazas podr\u00edan aprovechar para realizar ataques de ransomware, exfiltraci\u00f3n de datos y recuperaci\u00f3n de contrase\u00f1as.<\/p>\n<p>&#8220;A partir de una \u00fanica m\u00e1quina comprometida, los actores de amenazas podr\u00edan progresar de varias maneras: podr\u00edan pasar a otras m\u00e1quinas clonadas con <a rel=\"nofollow noopener\" href=\"https:\/\/support.google.com\/a\/answer\/9541083?hl=en\" target=\"_blank\">GCPW<\/a> instalado, obtener acceso a la plataforma en la nube con permisos personalizados o descifrar contrase\u00f1as almacenadas localmente para continuar su ataque m\u00e1s all\u00e1 del ecosistema de Google&#8221;, Martin Zugec, director de soluciones t\u00e9cnicas de Bitdefender, <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/the-chain-reaction-new-methods-for-extending-local-breaches-in-google-workspace\/\" target=\"_blank\">dicho<\/a> en un nuevo informe.<\/p>\n<p>Un requisito previo para estos ataques es que el malhechor ya haya obtenido acceso a una m\u00e1quina local a trav\u00e9s de otros medios, lo que llev\u00f3 a Google a marcar el error como <a rel=\"nofollow noopener\" href=\"https:\/\/bugs.chromium.org\/p\/chromium\/issues\/detail?id=1420209\" target=\"_blank\">no elegible para arreglar<\/a> &#8220;ya que est\u00e1 fuera de nuestro modelo de amenaza y el comportamiento est\u00e1 en l\u00ednea con las pr\u00e1cticas de Chrome de almacenar datos locales&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Los-expertos-advierten-sobre-piratas-informaticos-de-ransomware-que-explotan.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sin embargo, la empresa rumana de ciberseguridad ha advertido que los actores de amenazas pueden explotar tales brechas para extender el compromiso de un \u00fanico punto final a una violaci\u00f3n en toda la red.<\/p>\n<p>Los ataques, en pocas palabras, se basan en el uso por parte de una organizaci\u00f3n del Proveedor de credenciales de Google para Windows (GCPW), que ofrece administraci\u00f3n de dispositivos m\u00f3viles (<a rel=\"nofollow noopener\" href=\"https:\/\/csrc.nist.gov\/glossary\/term\/mobile_device_management\" target=\"_blank\">DM<\/a>) e inicio de sesi\u00f3n \u00fanico (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Single_sign-on\" target=\"_blank\">SSO<\/a>) capacidades.<\/p>\n<p>Esto permite a los administradores administrar y controlar de forma remota los dispositivos Windows dentro de sus entornos de Google Workspace, adem\u00e1s de permitir a los usuarios acceder a sus dispositivos Windows utilizando las mismas credenciales que se utilizan para iniciar sesi\u00f3n en sus cuentas de Google.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/1700172180_942_Los-piratas-informaticos-podrian-aprovechar-Google-Workspace-y-la-plataforma.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/1700172180_942_Los-piratas-informaticos-podrian-aprovechar-Google-Workspace-y-la-plataforma.jpg\" alt=\"Plataforma en la nube para ataques de ransomware\" border=\"0\" data-original-height=\"406\" data-original-width=\"728\" title=\"Plataforma en la nube para ataques de ransomware\"\/><\/a><\/div>\n<p>GCPW est\u00e1 dise\u00f1ado para utilizar una cuenta de servicio local privilegiada denominada Administraci\u00f3n de ID y cuentas de Google (<a rel=\"nofollow noopener\" href=\"https:\/\/www.google.com\/support\/enterprise\/static\/gsa\/docs\/admin\/70\/admin_console_help\/cloud_google_apps.html\" target=\"_blank\">GAIA<\/a>) para facilitar sin problemas el proceso en segundo plano al conectarse a las API de Google para verificar las credenciales de un usuario durante el paso de inicio de sesi\u00f3n y almacenar un token de actualizaci\u00f3n para evitar la necesidad de volver a autenticarse.<\/p>\n<p>Con esta configuraci\u00f3n implementada, un atacante con acceso a una m\u00e1quina comprometida puede extraer los tokens OAuth de actualizaci\u00f3n de una cuenta, ya sea del registro de Windows o del directorio de perfil de Chrome del usuario, y evitar las protecciones de autenticaci\u00f3n multifactor (MFA).<\/p>\n<p>El token de actualizaci\u00f3n se utiliza posteriormente para crear una solicitud POST HTTP al punto final &#8220;https:\/\/www.googleapis[.]com\/oauth2\/v4\/token&#8221; para obtener un token de acceso, que, a su vez, se puede utilizar para recuperar, manipular o eliminar datos confidenciales asociados con la cuenta de Google.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Un segundo exploit se refiere a lo que se llama el movimiento lateral Golden Image, que se centra en implementaciones de m\u00e1quinas virtuales (VM) y aprovecha el hecho de que la creaci\u00f3n de una m\u00e1quina mediante la clonaci\u00f3n de otra m\u00e1quina con GCPW preinstalado hace que la contrase\u00f1a asociada con la cuenta GAIA sea clonado tambi\u00e9n.<\/p>\n<p>&#8220;Si conoce la contrase\u00f1a de una cuenta local y las cuentas locales en todas las m\u00e1quinas comparten la misma contrase\u00f1a, entonces conoce las contrase\u00f1as de todas las m\u00e1quinas&#8221;, explic\u00f3 Zugec.<\/p>\n<p>&#8220;Este desaf\u00edo de contrase\u00f1a compartida es similar a tener la misma contrase\u00f1a de administrador local en todas las m\u00e1quinas, algo que ha sido solucionado por la soluci\u00f3n de contrase\u00f1a de administrador local de Microsoft (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/identity\/laps\/laps-overview\" target=\"_blank\">VUELTAS<\/a>). &#8220;<\/p>\n<p>El tercer ataque implica el acceso a credenciales de texto sin formato aprovechando el token de acceso adquirido mediante la t\u00e9cnica antes mencionada para enviar una solicitud HTTP GET a un punto final API no documentado y obtener la clave RSA privada necesaria para descifrar el campo de contrase\u00f1a.<\/p>\n<p>&#8220;Tener acceso a credenciales en texto plano, como nombres de usuario y contrase\u00f1as, representa una amenaza m\u00e1s grave&#8221;, afirm\u00f3 Zugec.  &#8220;Esto se debe a que permite a los atacantes hacerse pasar por usuarios leg\u00edtimos y obtener acceso sin restricciones a sus cuentas, lo que podr\u00eda conducir a una apropiaci\u00f3n total de la cuenta&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/hackers-could-exploit-google-workspace.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de noviembre de 2023\ue804Sala de redacci\u00f3nSeguridad en la nube\/ransomware Se ha demostrado un conjunto de m\u00e9todos de<\/p>\n","protected":false},"author":1,"featured_media":1049659,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4921,2346,4661,4664,4662,8666,6214,4668,201033,36,4654,201031,4659,4653,4655,10650,18,6213,2256,1639,4883,1920,4666,4665,201032,4660,49422],"class_list":["post-1049658","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovechar","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-filtracion-de-datos","tag-google","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nube","tag-para","tag-piratas","tag-plataforma","tag-podrian","tag-ransomware","tag-realizar","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software","tag-workspace"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1049658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1049658"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1049658\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1049659"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1049658"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1049658"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1049658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}