Uma vulnerabilidade de dia zero no Google Cloud Platform (GCP) apelidada de “GhostToken” pode permitir que operadores de ameaças obtenham acesso à conta do usuário, convertendo um aplicativo de terceiros em um trojan, deixando os dados pessoais da vítima expostos indefinidamente.
Em uma postagem no blog da empresa na quinta-feira passada, 20, o grupo de pesquisa de segurança da Astrix explicou que, ao explorar o GhostToken, os invasores podem ocultar o aplicativo malicioso da página de gerenciamento de aplicativos da conta da vítima no GCP. Por ser o único lugar onde os usuários do Google podem ver seus aplicativos e revogar o acesso, a exploração torna o aplicativo malicioso inamovível da conta.
Além disso, o invasor pode usar um token de atualização que recebe quando assume a conta da vítima para acessá-la e, em seguida, ocultar o aplicativo novamente para restaurar seu estado irremovível. Como esses aplicativos estão ocultos da visão da vítima, esta não tem como saber que sua conta foi hackeada — e mesmo que suspeitem — a única providência que podem tomar é configurar uma nova conta.
Os pesquisadores da Astrix disseram que qualquer conta do Google é um alvo potencial do GhostToken. É significativo porque inclui os 3 bilhões de usuários do Google Workspace. A empresa especializada em gerenciamento de acesso e prevenção de ameaças publicou pela primeira vez notícias sobre o dia zero GhostToken em 19 de junho de 2022, e o Google lançou um patch no início deste mês, no dia 7.
Veja isso
Falha de logs permite o roubo de dados do Google Cloud Platform
Google Cloud bloqueou DDoS com 46 milhões de rps
De acordo com os esforços de coordenação da Astrix com o Google, o patch incluiu a adição de tokens de aplicativos OAuth (autorização aberta) em uma “exclusão pendente” state para a tela de gerenciamento do aplicativo do usuário.Embora os pesquisadores de segurança possam considerar isso novo de uma perspectiva de “técnica de ataque conhecida”, o recurso que ele utiliza já existe há algum tempo.
Obviamente que, dependendo das permissões que as vítimas atribuem ao aplicativo malicioso, os invasores podem potencialmente ler as correspondências privadas da vítima no Gmail, obter acesso a arquivos pessoais do Google Drive e do Google Fotos, visualizar eventos planejados no calendário do Google, rastrear a localização da vítima por meio do Google Maps, e conceder acesso aos serviços do Google Cloud Platform da vítima.
