Une grave vulnérabilité zero-day, identifiée comme la faille “GhostToken”, pourrait permettre à un adversaire d'infecter un Google Cloud cible avec des applications malveillantes. Google a corrigé la faille avant qu'elle ne soit rendue publique.
Vulnérabilité de jour zéro GhostToken dans Google Cloud
Comme le précise un récent billet d'Astrix Security, la vulnérabilité zero-day GhostToken pourrait permettre d'infecter le Google Cloud cible avec des applications malveillantes.
Plus précisément, la faille affectait la page de gestion des applications du compte Google – l'option permettant aux utilisateurs de passer en revue les apps utilisées. Un adversaire pouvait connecter des apps malveillantes au compte, et les cacher définitivement à l'utilisateur. Par conséquent, l'utilisateur du compte Google concerné ne pouvait jamais connaître la présence de l'application malveillante, continuant ainsi à utiliser par inadvertance un compte infecté.
En bref, la faille existe en raison de la façon dont une application se connecte à un compte Google par le biais d'un jeton. Comme l'ont expliqué les chercheurs, une application obtient le jeton d'accès au compte concerné juste après que l'utilisateur de Google l'a installée à partir du Google Marketplace.
En ce qui concerne la façon dont ils ont découvert le problème, le chercheur a déclaré,
“Alors que nous procédions à notre processus d'analyse habituel, un
tokens.listappel API avait renvoyé un résultat étrange – un jeton d'une application OAuth qui avait son…displayTextidentique auclientIdchamp.
Les chercheurs ont trouvé la raison de cette étrange displayText du comportement du champ étant la suppression d'un client de l'application OAuth. Ils ont ensuite voulu savoir ce qu'il adviendrait du jeton d'accès s'ils restauraient l'application dont la suppression est programmée. (Google autorise la restauration d'une application dont la suppression est programmée dans un délai de 30 jours).
Ils ont remarqué que le jeton de rafraîchissement, créé avant d'initier la suppression, devenait réactivé suite à la restauration. Finalement, ils ont pu utiliser ce jeton de rafraîchissement pour obtenir le jeton d'accès qu'ils ont pu exploiter pour accéder au compte Google correspondant.
Ils en ont donc déduit qu'une personne mal intentionnée pouvait facilement supprimer et restaurer son application malveillante pour maintenir un accès furtif mais persistant au compte Google de la victime afin de voler des données sensibles.
Google a corrigé la vulnérabilité
Selon les chercheurs, un adversaire pourrait exploiter la vulnérabilité GhostToken pour accéder aux informations sensibles des services Google Drive, Agenda, Photos, Google Docs, Google Maps (données de localisation) et autres services de Google Cloud Platform du compte cible.
Après avoir découvert la faille, ils ont signalé le problème à Google en juin 2022. Si Google a reconnu la faille en août 2022, il leur a fallu tout de même attendre avril 2023 pour publier un correctif.
Malgré tout, Google a réussi à publier le correctif avant que le bug ne puisse souffrir d'une exploitation active. Le correctif inclut l'affichage des jetons d'apps OAuth pour les apps dont la suppression est programmée dans l'option de gestion des apps des utilisateurs.
Bien que le géant de la technologie ait publié le correctif, les utilisateurs de Google doivent également vérifier leurs comptes pour voir s'il n'y a pas d'applications non reconnues. De plus, les utilisateurs doivent s'assurer de fournir des autorisations d'accès minimales aux applications tierces par mesure de précaution.
Fais-nous part de tes réflexions dans les commentaires.
