MADRID, 23 (Portaltic/EP)
Los nuevos métodos de ataque aprovechan el proveedor de credenciales de Google para Windows (GCPW, por sus siglas en inglés), que habilita el inicio de sesión a los miembros de una organización en un equipo con Windows 10 u 11 con la cuenta de Google que normalmente usan en su trabajo o centro educativo.
Esta forma de dar acceso a un equipo en remoto también habilita el inicio de sesión único o unificado, un proceso de autenticación con el que un usuario puede acceder a varios sistemas con una sola instancia de identificación, en este caso, la cuenta de Google.
Cuando GCPW se instala en una máquina, se crea también una cuenta de usuario local (gaia) con una contraseña aleatoria. Lo normal es que gaia se cree en distintas máquinas de una red, en cada una con una contraseña diferente. Pero en entornos virtuales con máquinas clonadas, si ya existía una presintalación de GCPW también se clonará la contraseña, como explican desde Bitdefender.
Desde esta firma de ciberseguidad apuntan que "si conoces la contraseña de una cuenta local y las cuentas locales de todas las máquinas comparten la misma contraseña, entonces conoces las contraseñas de todas las máquinas". Y eso permite a un actor malintencionado moverse lateralmente desde una única maquina comprometida a otras máquinas clonadas, como explican en la nota de prensa de su investigación.
Otra técnica que describen los investigadores de Bitdefender permite a los ciberdelincuentes eludir los controles de autenticación multifactor (MFA) y obtener acceso a la plataforma en la nube con permisos personalizados.
En este caso, cada vez que se autentifica al iniciar sesión, GCPW guarda un token con el protocolo OAuth 2.0, que hace que la sesión se mantenga abierta y no salte la ventana que insta a introducir de nuevo las credenciales.
Dicho token expira al cabo de un tiempo. Si un actor malintencionado accede a un token actualizado, también puede solicitar un token de acceso. Este último otorga diferentes grados de acceso en función de un parámetro variable llamado 'scope', que determina las acciones que se pueden realizar, como acceder al 'email' del usuario, al calendario o al listado de contactos.
"Esto significa que potencialmente puede acceder a una amplia gama de datos de usuario o realizar acciones en nombre del usuario, según los alcances asociados con el token de acceso", advierten desde Bitdefender.
Asimismo, con un token de acceso, el actor malintencionado puede utilizarlo para descifrar las credenciales utilizadas para la recuperación de contraseñas y continuar su ataque más allá del ecosistema de Google.
Aunque desde la compañía de ciberseguridad recuerdan que "los métodos de ataque identificados para Google Workspace plantean un riesgo de seguridad", ya que permiten lanzar ataques de 'ransomware' u operaciones de exfiltración de datos; también matizan que "es importante tener en cuenta que primero requieren comprometer un dispositivo local".