Um conjunto de novos métodos de ataque foi demonstrado contra o Google Workspace e o Google Cloud Platform que poderiam ser potencialmente utilizados por atores maliciosos para realizar ataques de ransomware, exfiltração de dados e recuperação de senhas.
"A partir de uma única máquina comprometida, os atores ameaçadores poderiam avançar de várias maneiras: poderiam se mover para outras máquinas clonadas com o GCPW instalado, ganhar acesso à plataforma de nuvem com permissões personalizadas, ou descriptografar senhas armazenadas localmente para continuar seu ataque além do ecossistema do Google", disse Martin Zugec, diretor de soluções técnicas na Bitdefender, em um novo relatório.
Um pré-requisito para esses ataques é que o ator maligno já tenha conseguido acesso a uma máquina local por outros meios, o que levou o Google a marcar o bug como não elegível para correção "pois está fora de nosso modelo de ameaça e o comportamento está de acordo com as práticas do Chrome de armazenar dados locais".
No entanto, a firma romena de cibersegurança alertou que os atores ameaçadores podem explorar tais lacunas para estender um comprometimento de um único ponto de extremidade a uma violação em toda a rede.
Os ataques, em resumo, dependem do uso de uma organização do Google Credential Provider para Windows (GCPW), que oferece tanto gerenciamento de dispositivos móveis (MDM) como capacidades de login único (SSO).
Isso permite aos administradores gerenciar e controlar remotamente dispositivos Windows em seus ambientes Google Workspace, bem como permite aos usuários acessar seus dispositivos Windows usando as mesmas credenciais que são usadas para fazer login em suas contas Google.
O GCPW é projetado para usar uma conta de serviço privilegiada local chamada Google Accounts and ID Administration (GAIA) para facilitar o processo em segundo plano, conectando-se às APIs do Google para verificar as credenciais de um usuário durante o passo de login e armazenar um token de atualização para obviar a necessidade de reautenticação.
Com essa configuração em vigor, um invasor com acesso a uma máquina comprometida pode extrair os tokens de atualização OAuth de uma conta, seja do registro do Windows ou do diretório de perfil do Chrome do usuário, e contornar as proteções de autenticação de múltiplos fatores (MFA).
O token de atualização é subsequentemente utilizado para construir uma solicitação POST HTTP para o endpoint "https://www.googleapis[.]com/oauth2/v4/token" para obter um token de acesso, que, por sua vez, pode ser usado para recuperar, manipular ou excluir dados sensíveis associados à Conta Google.
Uma segunda exploração diz respeito ao que é chamado de movimento lateral da Golden Image, que se concentra em implantações de máquinas virtuais (VM) e tira proveito do fato de que criar uma máquina clonando outra máquina com o GCPW pré-instalado faz com que a senha associada à conta GAIA seja clonada também.
"Se você conhece a senha de uma conta local e todas as contas locais em todas as máquinas compartilham a mesma senha, então você conhece as senhas de todas as máquinas", explicou Zugec.
"Este desafio de senha compartilhada é semelhante a ter a mesma senha de administrador local em todas as máquinas que foi resolvido pela Solução de Senha do Administrador Local (LAPS) da Microsoft."
O terceiro ataque envolve o acesso a credenciais em texto simples aproveitando o token de acesso adquirido utilizando a técnica acima mencionada para enviar uma solicitação GET HTTP para um ponto de extremo da API não documentado e obter a chave privada RSA que é necessária para descriptografar o campo de senha.
"Ter acesso a credenciais em texto simples, como usuários e senhas, representa uma ameaça mais severa", disse Zugec, "Isso porque permite que os invasores se passem diretamente por usuários legítimos e tenham acesso irrestrito às suas contas, o que pode levar à tomada total da conta."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...