Bl0ckch41nnewsCompromiso de cuentas de Google: malware explota la funcionalidad no documentada para secuestrar sesiones

[ad_1]

La compañía de ciberseguridad
CloudSEK acusa a Google
de no haber solventado completamente una vulnerabilidad grave ni siquiera tres
meses después de que un desarrollador publicase por primera vez el «truco».
Esta vulnerabilidad amenaza cuentas de Google y permite a un atacante ingresar
en ellas incluso sin contraseña.

Los usuarios de Google se encuentran más expuestos que nunca a los
ciberataques, ahora que expertos en ciberseguridad de la compañía CloudSEK
han hecho pública
una nueva forma de acceso no autorizado a las cuentas de esta plataforma…
que no requiere de conocer la contraseña.

De hecho, la clave de esta técnica gira en torno a una vulnerabilidad en el
manejo de las cookies de autenticación de Google, las que permiten a
los usuarios acceder a sus cuentas sin necesidad de estar introduciendo
constantemente la contraseña.

A finales de noviembre de 2023,
BleepingComputer informó
sobre dos malware ladrones de información, Lumma y Rhadamanthys, que afirmaban que
podían restaurar las cookies de autenticación de Google caducadas robadas
en ataques
.

Lo alarmante de esta vulnerabilidad es que incluso después de que los usuarios
cambien sus contraseñas, los atacantes aún disponen de la persistencia de
sesión (esto es, que pueden mantener el acceso a las cuentas de Google en las
que ya hubieran hecho login). Esto significa que cualquier acceso no
autorizado puede persistir durante mucho tiempo sin ser detectado.

La amenaza, que desde CloudSEK califican de «altamente sofisticada», al exigir
un profundo conocimiento del mecanismo de autenticación de Google (radica en
un proceso no documentado de Google OAuth) fue inicialmente dada a conocer a
través de Telegram en octubre de 2023, por un desarrollador que se hace llamar
PRISMA.

A continuación, varios grupos de atacantes procedieron a probar el
correspondiente exploit, incorporándolo a sus
infostealers (malware dedicado al robo de información confidencial,
como Lumma, Meduza, Rhadamanthys, etc).

Según CloudSEK, tres meses después de desvelarse la vulnerabilidad, Google
aún no ha implementado una solución integral a la misma.

Después de aplicar ingeniería inversa al exploit, CloudSEK descubrió que
utiliza un punto final de Google OAuth no documentado llamado
«MultiLogin», que está destinado a sincronizar cuentas entre diferentes
servicios de Google aceptando un vector de ID de cuenta y tokens de inicio de
sesión de autenticación.

«Esta solicitud se utiliza para configurar cuentas de Chrome en el
navegador en las cookies de autenticación de Google para varios sitios web
de Google (por ejemplo, YouTube)»
, explica una descripción del punto final API en el código fuente de Google
Chrome.

«Esta solicitud es parte de Gaia Auth API y se activa cuando las cuentas en
las cookies no son consistentes con las cuentas en el navegador»
, explica con más detalle una variable en el código fuente.

¿Qué hacer si sospechas que has sido víctima?

Ante esta situación, CloudSEK aconseja a los usuarios que sospechen que sus
cuentas han podido verse comprometidas que cierren sesión en todas ellas,
restablezcan la contraseña y luego vuelvan a iniciar sesión, como medida
adicional de seguridad.

Esto, sin embargo, no es una panacea, puesto que CloudSEK también reconoce que
los atacantes que explotan este método pueden generar cookies válidas en caso
de interrupción de la sesión.

La cookie de autenticación sólo se puede regenerar una vez si un usuario
restablece su contraseña de Google. De lo contrario, se puede regenerar varias
veces, proporcionando acceso persistente a la cuenta.
Para proteger la cuenta de este ataque, primero debe cerrarse la sesión en
la cuenta de Google, cambiar su contraseña y luego volver a iniciar sesión
en la cuenta.

«Esto garantizará que la clave sea revocada y la contraseña sea segura»,
tuiteó Karthick.

«Lo ocurrido pone de relieve la necesidad de una vigilancia continua, tanto
de las vulnerabilidades técnicas como de las fuentes de inteligencia humana
para adelantarse a las ciberamenazas emergentes»
.

Fuente:
GenBeta
|
BC | THN | CloudSek



[ad_2]

Source link

Los comentarios están cerrados.