Nuevas técnicas de ataque que se sirven de Google Workspace

Los nuevos métodos para extender una brecha de seguridad que ha publicado Bitdefender en su último informe muestran cómo se puede utilizar Google Credential Provider for Windows (GCPW) para llegar a redes locales en Google Workspace. Así, desde un único endpoint es factible el acceso a toda una red, poniendo en marcha ataques de ransomware y operaciones de exfiltración de datos.

Bitdefender avisa de que con esta técnica un atacante se podría mover lateralmente “desde una única maquina comprometida a otras máquinas clonadas con GCPW instalado, eludir los controles de autenticación multifactor (MFA) y obtener acceso a la plataforma en la nube con permisos personalizados”. Incluso podría descifrar las credenciales que se utilizan para recuperar las contraseñas, por lo que el ataque podría ampliarse fuera del entorno de Google.

Al parecer, aunque Google ha validado este método descubierto por Bitdefender, no va a tomar ninguna medida para evitarlo, dado que lo considera fuera de su modelo específico de amenazas y que controles de seguridad como EDR/XDR son suficientes para ofrecer la protección necesaria.

En todo caso, Bitdefender considera importante que las organizaciones que utilizan Google Workspace o Google Cloud Platform sean conscientes “de los riesgos potenciales”. Específicamente, advierte de que las debilidades combinadas con la metodología descubierta solo se pueden explotar si la máquina local ha sido previamente comprometida por otros medios.