0
0
Uma vulnerabilidade de segurança na Cloud Platform (GCP) do Google poderia ter permitido que invasores cibernéticos ocultassem um aplicativo malicioso e irremovível dentro da Conta do Google de uma vítima, condenando a conta a um estado de infecção permanente e indetectável.
O bug, apelidado de “GhostToken”, foi descoberto e relatado por pesquisadores da Astrix Security. De acordo com uma análise divulgada pela equipe em 20 de abril, o aplicativo malicioso poderia ter aberto o caminho para uma surpreendente série de atividades nefastas, incluindo a leitura da conta do Gmail da vítima, o acesso a arquivos no Google Drive e no Google Fotos, a visualização do calendário do Google e o rastreamento de locais via Google Maps.
Armados com essas informações, os invasores podem criar ataques de falsificação de identidade e phishing extremamente convincentes, ou até mesmo colocar a pessoa em perigo físico.
“Em casos ainda piores… os invasores podem excluir arquivos do Google Drive, escrever e-mails da conta do Gmail da vítima para realizar ataques de engenharia social, [exfiltrar] dados confidenciais do Google Agenda, Fotos ou Documentos e muito mais”, escreveram os pesquisadores na postagem.
Um aplicativo que ‘fantasma’ a vítima
O Google Cloud Platform foi criado para hospedar qualquer um dos milhares de aplicativos para usuários finais, que, como outros ecossistemas de aplicativos, têm uma loja oficial onde podem ser facilmente baixados – neste caso, o Google Marketplace – juntamente com mercados de terceiros. Uma vez autorizado para download pelo usuário, o aplicativo recebe um token em segundo plano, concedendo acesso à Conta do Google do instalador com base nas permissões que o aplicativo solicita.
Usando a vulnerabilidade GhostToken, os ciberatacantes podem criar um aplicativo malicioso que eles podem plantar em uma das lojas de aplicativos, disfarçado como um utilitário ou serviço legítimo. Mas, uma vez baixado, o aplicativo se ocultará da página de gerenciamento de aplicativos da Conta do Google da vítima.
“Como este é o único lugar onde os usuários do Google podem ver seus aplicativos e revogar seu acesso, a exploração torna o aplicativo malicioso irremovível da conta do Google”, de acordo com a análise. “O invasor, por outro lado, como quiser, pode exibir seu aplicativo e usar o token para acessar a conta da vítima e, em seguida, ocultar rapidamente o aplicativo novamente para restaurar seu estado não removível. Em outras palavras, o invasor possui um token ‘fantasma’ na conta da vítima.”
Idan Gour, pesquisador da Astrix, diz que a falha pode ter tido consequências de longo alcance para empresas e indivíduos, e que serve como um alerta para lembrar quanto acesso os aplicativos em nuvem têm em nossas vidas e o perigo que a TI sombra pode ter para as empresas.
“Essa vulnerabilidade específica permitiu que os ciberatacantes de um lado tivessem acesso aos ambientes organizacionais do GCP, mas, do outro lado, ao Google Fotos pessoal das pessoas e às suas contas de e-mail”, diz ele. “Vale a pena lembrar que esses diferentes serviços que usamos todos os dias para tudo são realmente propensos a esses tipos de desafios, e é tudo sobre como os usamos e, por outro lado, como os protegemos.”
Rastreando um Fantasma
Embora os detalhes sejam escassos, o problema técnico geralmente surgiu da maneira como o Google processa os clientes OAuth quando eles são desativados, disseram os pesquisadores. Clientes OAuth de terceiros são frequentemente integrados em aplicativos para permitir que eles façam login de usuários mais facilmente, fazendo uso da autenticação existente com outros usuários confiáveis. Um exemplo comum é o “login com o Facebook” oferecido por muitos sites.
No que diz respeito a como ele poderia ser explorado, ele começa com o fato de que cada aplicativo oferecido aos usuários do Google no Google Marketplace (ou em outros sites) está associado a um único “projeto” do GCP que o hospeda. Se o proprietário do projeto GCP (geralmente o desenvolvedor) o excluir, ele entrará no que Astrix se refere como “um estado de exclusão pendente semelhante a um limbo” e “permanecerá assim por 30 dias até que seja totalmente limpo e excluído”.
Esses projetos de exclusão pendente podem ser completamente restaurados ao capricho do proprietário a partir de uma página dedicada feita para esse fim. No entanto, para os usuários finais, o aplicativo desaparece imediatamente da página de gerenciamento “aplicativos com acesso à sua conta”.
Assim, o cenário de ataque é assim:
- Uma vítima autoriza uma aplicação OAuth aparentemente legítima (mas, na realidade, má). Em segundo plano, o invasor recebe um token para a conta do Google da vítima.
- Os invasores excluem o projeto associado ao aplicativo OAuth autorizado, que entra em um estado de exclusão pendente — o aplicativo se torna oculto e irremovível da perspectiva da vítima.
- Sempre que os invasores desejam obter acesso aos dados da vítima, eles restauram o projeto, obtêm um novo token de acesso e o usam para acessar os dados da vítima.
- Os atacantes então imediatamente ocultam novamente o aplicativo da vítima.
- Para manter a persistência, o loop de ataque deve ser executado periodicamente antes que o projeto de exclusão pendente seja limpo.
“Durante a Etapa 2 do loop de ataque, o acesso reaparece na página ‘Aplicativos com acesso à sua conta’, o que significa que a vítima pode tecnicamente remover o acesso do aplicativo nesta janela de tempo”, explicaram os pesquisadores. “No entanto, é um período de tempo muito limitado que dura até que o invasor execute a Etapa 1 do loop de ataque novamente.”
Eterna Batalha de Usabilidade e Segurança
Gour observa que a vulnerabilidade era incomum porque estava relacionada a um recurso principal que estava, ostensivamente, se comportando como deveria: dar flexibilidade aos desenvolvedores sem atrapalhar os usuários finais com anotações sobre aplicativos que eles não podem mais usar.
“Normalmente, quando falamos de vulnerabilidades, essas são coisas que estão quebradas que você pode simplesmente corrigir e continuar”, explica ele. “Mas, neste caso, era realmente uma característica central do GCP e como você cria projetos no GCP. É realmente bom poder voltar a coisas que você fez no passado, que você não queria apagar. Mas, por outro lado, com um pouco de criatividade e uma abordagem muito direta, isso poderia ser transformado em algo que pode quebrar completamente a maneira como o gerenciamento de identidade e acesso é feito por um terceiro externo que foi integrado a esse ambiente (OAuth).”
E, de fato, o bug fala sobre o empurra-empurra contínuo entre usabilidade e segurança que é sentido em todas as partes de um ambiente corporativo, observa Gour.
“As implicações para a segurança na nuvem, especialmente porque ela atinge as organizações e as informações privadas de tantas pessoas hoje em dia, é que sim, às vezes atrapalha a produtividade ou a mobilidade pessoal, e é isso que queremos?”, diz ele. “Você tem que pensar nessas coisas desde a fase de design e avaliar os recursos para o equilíbrio entre valor para o usuário e segurança. É muito, muito, muito, mais fácil de fazer antes que tudo seja implementado e centenas ou milhares de pessoas o estejam usando.”
Banindo o Fantasma: Mitigação e um Patch
No início deste mês, o Google lançou um patch global, corrigindo o problema, certificando-se de que os aplicativos em um estado de exclusão pendente ainda estejam visíveis na tela de gerenciamento de aplicativos de um usuário. No entanto, os pesquisadores da Astrix alertaram que, embora não estejam cientes da exploração ativa, os administradores do Google Workspace devem procurar aplicativos que possam ter atacado os usuários antes que o patch fosse iniciado em 7 de abril.
Isso pode ser feito de duas maneiras, disseram os pesquisadores:
- Procurar aplicativos cujo ID do cliente é o mesmo que o campo ‘displayText’ e remover seu acesso se eles provarem ser maliciosos;
- Ou inspecionar os eventos de log do OAuth no recurso “Auditoria e investigação” do Google Workspace para atividades de token de tais aplicativos.
FONTE: DARK READING