«Sin usar ningún exploit, simplemente con una sencilla reconfiguración de los servicios se puede conseguir una herramienta de ataque devastadora y difícilmente detectable.«
El ataque reside en conseguir el token de contraseña, un pequeño archivo que para mayor comodidad se localiza en el dispositivo del usuario, para evitar tener que introducir la contraseña cada vez que el servicio quiera sincronizarse. Una vez que se consigue el token, para lo que puede emplearse cualquier otro tipo de ataque (p.ej. phishing o drive-by), se puede emplear para engañar a un nuevo equipo y convertir al atacante en el dueño de la cuenta. A partir de aquí ya está todo hecho, el atacante podrá acceder y robar los archivos del usuario, añadir malware en la nube del usuario, emplear la cuenta de ese usuario para otros ataques…
Aplicación
|
OneDrive
|
Box
|
Google Drive
|
Dropbox
|
Tipo de Token
|
OAuth Refresh Token
|
OAuth Refresh Token
|
OAuth Refresh Token
|
Proprietario
|
Localización
|
Windows Credential Manager
|
Windows Credential Manager
|
Cifrado en el Registro
|
Archivo SQLite cifrado
|
Incluso se puede ir aun más lejos, el atacante podrá actuar como el dueño de la cuenta, si modifica la contraseña impedirá al usuario legítimo acceder a su cuenta, quedando bajo el control total del atacante.
Me encantaría que se cumpliese el dicho pero generalmente después de la»muerte»llegan los carroñeros y después del desastre proliferan las compañía s de rescate. Es el momento de plantar seguridad de sde otro enfoque.
Impresionante y preocupante. Excelente artículo, definitivamente estamos en la calle con la nube.
Yo uso https://dataprius.com ¿qué tal es su nivel de seguridad?