La plate-forme cloud de Google (GCP) était vulnérable à une faille zero-day qui permettait aux acteurs de la menace d’accéder aux comptes des personnes et à toutes les données qui s’y trouvaient (Gmail, Drive, Docs, Photos, etc.), selon les chercheurs.
Les experts d’Astrix Security ont découvert qu’un acteur malveillant pouvait créer une application Google Cloud Platform malveillante et en faire la publicité via Google Marketplace ou des fournisseurs tiers.
Si un utilisateur installe l’application, l’autorise et la lie à un jeton OAuth, il donnera aux attaquants l’accès à son compte Google.
Cacher l’application aux victimes
Les acteurs de la menace pourraient alors rendre l’application invisible et la masquer de la page de gestion des applications de Google, ce qui empêcherait les victimes de remédier à la vulnérabilité. La méthode de « cacher » l’application est là où se trouve le jour zéro – en supprimant le projet GCP lié, les attaquants feraient passer l’application dans un état « en attente de suppression », et la rendraient ainsi invisible sur la page de gestion des applications.
« Comme c’est le seul endroit où les utilisateurs de Google peuvent voir leurs applications et révoquer leur accès, l’exploit rend le malveillant (s’ouvre dans un nouvel onglet) app inamovible du compte Google », ont déclaré les chercheurs.
Ensuite, chaque fois que les attaquants le jugeaient bon, ils pourraient restaurer le projet, obtenir un nouveau jeton et récupérer les données du compte de la victime. De plus, ils pourraient être en mesure de le faire indéfiniment. « L’attaquant, d’autre part, à sa guise, peut afficher son application et utiliser le jeton pour accéder au compte de la victime, puis masquer rapidement à nouveau l’application pour restaurer son état inamovible. En d’autres termes, l’attaquant détient un « fantôme ». jeton sur le compte de la victime. »
Astrix a appelé la faille – GhostToken.
Il est également important de mentionner que l’impact de la faille dépend fortement des autorisations que les victimes accordent aux applications malveillantes.
La vulnérabilité a été découverte à l’été 2022 et a été corrigée en avril de cette année. Désormais, les applications GCP OAuth en attente de suppression apparaissent toujours sur la page « Applications avec accès à votre compte ».
- Voici notre aperçu des meilleurs pare-feu (s’ouvre dans un nouvel onglet) là-bas
Via : BleepingComputer (s’ouvre dans un nouvel onglet)