El
tiempo estaba despejado pero cuando los investigadores iniciaron su conferencia
las nubes se volvieron de un color negruzco. Más que nubes, nubarrones. Se
avecinaba una tormenta. Un atacante
podría acceder a los archivos de servicios en la nube como Dropbox, Google
Drive o OneDrive sin necesidad de la contraseña del usuario.
Los investigadores de la firma
Imperva, mostraron en la
conferencia
Black Hat lo que han bautizado como
ataques
"man in the cloud" (hombre
en la nube). Estos ataques MITC podrían permitir a un atacante
obtener todos los archivos almacenados en
servicios basados en la nube, o infectarlos con malware, sin conocimiento
del usuario.
Este ataque se diferencia de los
ya conocidos de hombre en el medio, en los que se interfiere la comunicación
entre dos servidores o usuarios, ya que en esta ocasión se aprovecha una
vulnerabilidad en el diseño del sistema de sincronización de archivos ofrecido
por diversos servicios de este tipo, como Dropbox, Box, OneDrive o Google Drive.
"Sin usar ningún exploit,
simplemente con una sencilla reconfiguración de los servicios se puede
conseguir una herramienta de ataque devastadora y difícilmente detectable."
El ataque reside en
conseguir el
token de contraseña, un pequeño archivo que para mayor comodidad se localiza en
el dispositivo del usuario, para evitar tener que introducir la contraseña cada
vez que el servicio quiera sincronizarse. Una vez que se consigue el token, para
lo que puede emplearse cualquier otro tipo de ataque (p.ej. phishing o drive-by),
se puede emplear para engañar a un nuevo equipo y convertir al atacante en el
dueño de la cuenta. A partir de aquí ya está todo hecho,
el atacante podrá
acceder y robar los archivos del usuario, añadir malware en la nube del
usuario, emplear la cuenta de ese usuario para otros ataques…
El token de autenticación se
almacena en el sistema del usuario en el registro o en un archivo. Después de
la autenticación, no se necesitan más credenciales explícitas (o almacenadas) para
acceder a la cuenta del usuario. Además este token de sincronización es
independiente de la máquina, puede utilizarse el mismo en máquinas diferentes.
La siguiente tabla muestra los
tokens y las localizaciones para las diferentes aplicaciones evaluadas por los
investigadores:
|
Aplicación
|
OneDrive
|
Box
|
Google Drive
|
Dropbox
|
|
Tipo de Token
|
OAuth Refresh Token
|
OAuth Refresh Token
|
OAuth Refresh Token
|
Proprietario
|
|
Localización
|
Windows Credential
Manager
|
Windows Credential
Manager
|
Cifrado en el
Registro
|
Archivo SQLite cifrado
|
Incluso se puede ir aun más
lejos, el atacante podrá actuar como el dueño de la cuenta, si modifica la
contraseña impedirá al usuario legítimo acceder a su cuenta,
quedando bajo el
control total del atacante.
Esperemos que se cumpla el dicho
de que "Después de la tormenta
siempre llega la calma".
Más información:
Man in The Cloud Attacks
Man in the Cloud (MITC) Attacks
Antonio Ropero
