{"id":715928,"date":"2023-04-21T13:06:45","date_gmt":"2023-04-21T13:06:45","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-falla-de-ghosttoken-podria-permitir-a-los-atacantes-ocultar-aplicaciones-maliciosas-en-google-cloud-platform\/"},"modified":"2023-04-21T13:06:48","modified_gmt":"2023-04-21T13:06:48","slug":"la-falla-de-ghosttoken-podria-permitir-a-los-atacantes-ocultar-aplicaciones-maliciosas-en-google-cloud-platform","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-falla-de-ghosttoken-podria-permitir-a-los-atacantes-ocultar-aplicaciones-maliciosas-en-google-cloud-platform\/","title":{"rendered":"La falla de GhostToken podr\u00eda permitir a los atacantes ocultar aplicaciones maliciosas en Google Cloud Platform"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>21 de abril de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad en la nube\/vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Investigadores de seguridad cibern\u00e9tica han revelado detalles de una falla de d\u00eda cero ahora parcheada en Google Cloud Platform (GCP) que podr\u00eda haber permitido a los actores de amenazas ocultar una aplicaci\u00f3n maliciosa inamovible dentro de la cuenta de Google de una v\u00edctima.<\/p>\n

La startup israel\u00ed de ciberseguridad Astrix Security, que descubri\u00f3 e inform\u00f3 el problema a Google el 19 de junio de 2022, denomin\u00f3 GhostToken defectuoso.<\/p>\n

El problema afect\u00f3 a todas las cuentas de Google, incluidas las cuentas de Workspace centradas en empresas. Google implement\u00f3 un parche global m\u00e1s de nueve meses despu\u00e9s, el 7 de abril de 2023.<\/p>\n

“La vulnerabilidad […] permite a los atacantes obtener acceso permanente e inamovible a la cuenta de Google de una v\u00edctima al convertir una aplicaci\u00f3n de terceros ya autorizada en una aplicaci\u00f3n de troyano malicioso, dejando los datos personales de la v\u00edctima expuestos para siempre”, Astrix dicho<\/a> en un informe<\/p>\n

En pocas palabras, la falla hace posible que un atacante oculte su aplicaci\u00f3n maliciosa de la cuenta de Google de la v\u00edctima. p\u00e1gina de administraci\u00f3n de aplicaciones<\/a>evitando as\u00ed que los usuarios revoquen su acceso.<\/p>\n

Esto se logra eliminando el proyecto GCP<\/a> asociado con el aplicaci\u00f3n OAuth autorizada<\/a>, lo que hace que entre en un estado de “eliminaci\u00f3n pendiente”. El actor de amenazas, armado con esta capacidad, podr\u00eda mostrar la aplicaci\u00f3n no autorizada al restaurar el proyecto y usar el token de acceso para obtener los datos de la v\u00edctima y volverla invisible.<\/p>\n

\"Plataforma<\/div>\n

“En otras palabras, el atacante tiene un token ‘fantasma’ en la cuenta de la v\u00edctima”, dijo Astrix.<\/p>\n

El tipo de datos a los que se puede acceder depende de los permisos otorgados a la aplicaci\u00f3n, de los cuales los adversarios pueden abusar para eliminar archivos de Google Drive, escribir correos electr\u00f3nicos en nombre de la v\u00edctima para realizar ataques de ingenier\u00eda social, rastrear ubicaciones y filtrar datos confidenciales de Google. Calendario, Fotos y Drive.<\/p>\n

“Las v\u00edctimas pueden, sin saberlo, autorizar el acceso a tales aplicaciones maliciosas al instalar una aplicaci\u00f3n aparentemente inocente de Google Marketplace o una de las muchas herramientas de productividad disponibles en l\u00ednea”, agreg\u00f3 Astrix.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n

Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

“Una vez que la aplicaci\u00f3n maliciosa ha sido autorizada, un atacante que explote la vulnerabilidad puede eludir la funci\u00f3n de administraci\u00f3n de ‘Aplicaciones con acceso a su cuenta’ de Google, que es el \u00fanico lugar donde los usuarios de Google pueden ver las aplicaciones de terceros conectadas a su cuenta”. <\/p>\n

El parche de Google soluciona el problema al mostrar ahora las aplicaciones que est\u00e1n en estado pendiente de eliminaci\u00f3n en la p\u00e1gina de acceso de terceros, lo que permite a los usuarios revocar el permiso otorgado a dichas aplicaciones.<\/p>\n

El desarrollo se produce cuando Google Cloud solucion\u00f3 una falla de escalada de privilegios en la API de Cloud Asset Inventory denominada Ladr\u00f3n de llaves de activos<\/a> que podr\u00eda explotarse para robar claves privadas de cuentas de servicio administradas por el usuario y obtener acceso a datos valiosos. El problema, que fue descubierto por SADA a principios de febrero, fue reparado por el gigante tecnol\u00f3gico el 14 de marzo de 2023.<\/p>\n

Los hallazgos llegan poco m\u00e1s de un mes despu\u00e9s de que la firma de respuesta a incidentes en la nube Mitiga revelara que los adversarios podr\u00edan aprovechar la visibilidad forense “insuficiente” en GCP para filtrar datos confidenciales.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n