Hackers podrían aprovechar Google Workspace y la Plataforma Cloud para ataques de ransomware

-



Un conjunto de métodos de ataque novedosos ha sido demostrado contra Google Workspace y la Plataforma Cloud de Google, que podrían ser potencialmente aprovechados por actores de amenazas para llevar a cabo ataques de ransomware, exfiltración de datos y recuperación de contraseñas.

"Partiendo de una única máquina comprometida, los actores de amenazas podrían progresar de varias maneras: podrían moverse a otras máquinas clonadas con GCPW instalado, obtener acceso a la plataforma en la nube con permisos personalizados o descifrar contraseñas almacenadas localmente para continuar su ataque más allá del ecosistema de Google", dijo Martin Zugec, director de soluciones técnicas en Bitdefender, en un nuevo informe.

Un requisito previo para estos ataques es que el actor malintencionado ya haya obtenido acceso a una máquina local a través de otros medios, lo que llevó a Google a marcar el error como "no elegible para su corrección" ya que está "fuera de nuestro modelo de amenaza y el comportamiento está en línea con las prácticas de Chrome de almacenar datos locales".

Sin embargo, la empresa de ciberseguridad rumana ha advertido que los actores de amenazas pueden aprovechar tales lagunas para extender una única compromisión de punto final a una violación de toda la red.

En resumen, los ataques se basan en el uso del Proveedor de Credenciales de Google para Windows (GCPW) de una organización, que ofrece capacidades tanto de gestión de dispositivos móviles (MDM) como de inicio de sesión único (SSO).

Esto permite a los administradores gestionar y controlar de forma remota los dispositivos Windows dentro de sus entornos de Google Workspace, así como permite a los usuarios acceder a sus dispositivos Windows utilizando las mismas credenciales que se utilizan para iniciar sesión en sus cuentas de Google.


GCPW está diseñado para utilizar una cuenta de servicio local privilegiada llamada Administración de Cuentas e ID de Google (GAIA) para facilitar el proceso en segundo plano al conectarse a las API de Google para verificar las credenciales de un usuario durante el paso de inicio de sesión y almacenar un token de actualización para evitar la necesidad de reautenticación.

Con esta configuración, un atacante con acceso a una máquina comprometida puede extraer los tokens de actualización de OAuth de una cuenta, ya sea del registro de Windows o del directorio de perfil de Chrome del usuario, y eludir las protecciones de autenticación multifactor (MFA).

Posteriormente, el token de actualización se utiliza para construir una solicitud POST HTTP al punto final "https://www[.]googleapis[.]com/oauth2/v4/token" para obtener un token de acceso, que a su vez puede ser abusado para recuperar, manipular o eliminar datos sensibles asociados con la cuenta de Google.

Un segundo exploit se refiere al movimiento lateral de la Imagen Dorada, que se centra en despliegues de máquinas virtuales (VM) y aprovecha el hecho de que la creación de una máquina clonando otra máquina con GCPW preinstalado también clona la contraseña asociada a la cuenta GAIA.

"Si conoces la contraseña de una cuenta local, y las cuentas locales en todas las máquinas comparten la misma contraseña, entonces conoces las contraseñas de todas las máquinas", explicó Zugec.

"Este desafío de contraseña compartida es similar a tener la misma contraseña de administrador local en todas las máquinas que ha sido abordado por la Solución de Contraseña de Administrador Local de Microsoft (LAPS)."

El tercer ataque implica el acceso a credenciales en texto plano aprovechando el token de acceso adquirido mediante la técnica mencionada anteriormente para enviar una solicitud GET HTTP a un punto final de API no documentado y obtener la clave privada RSA necesaria para descifrar el campo de contraseña.

"Tener acceso a credenciales en texto plano, como nombres de usuario y contraseñas, representa una amenaza más grave", dijo Zugec. "Esto se debe a que permite a los atacantes suplantar directamente a usuarios legítimos y obtener acceso ilimitado a sus cuentas, lo que podría llevar a un apoderamiento completo de la cuenta."


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más