viernes, mayo 05, 2017

Cómo se ha hecho a Gmail el ataque de Spam masivo por OAuth2

Ayer fue un día en el que se produjo uno de los ataques de spam para robar cuentas de Gmail más masivo de los que se conocen, por hacerse de manera viral aprovechándose de los permisos OAuth que soporta el esquema de cuentas de Gmail. Muchísimas personas, en sus cuentas de Gmail, acabó recibiendo un correo de alguno de sus contactos con el spam y el phishing para robarle la cuenta.

Figura 1: Cómo se ha hecho a Gmail el ataque de spam masivo por OAuth2

De este ataque os hablé hace ya más de un año, en concreto en la RootedCON del 2016 cuando presentamos Sappo (Spear APPs to steal OAuth-Tokens), una herramienta para realizar ataques de Spear Phishing que no busca robar usuarios y contraseñas, sino tokens OAuth que den acceso a tu cuenta completa. La conferencia completa la tenéis en este vídeo, y si queréis entender los detalles del ataque completos, merece la pena que la veáis.

Figura 2: Solo hay que besar un Sappo

El ataque que se produjo ayer fue exactamente así, pero contra un entorno Gmail. La ventaja, tal y como se explica en la charla que impartimos hace más de un año, es que si te roban un token OAuth no importa si tienes un segundo factor de autenticación, o si has cambiado la contraseña. No necesitan tus credenciales, solo que le des permiso a una app maliciosa creada, en este caso, en la plataforma de Google.

Figura 3: Demo de cómo robar una cuenta de Office365 por medio de tokens OAuth

Por eso, el correo electrónico que llegaba tenía un único enlace a Google Docs. Se había elegido Google Docs porque cuando la víctima haga clic, llegará a una página de Google en la que se le pedirá que entregue permisos OAuth a una aplicación creada en Google, lo que hace que la víctima no vea nada sospechoso.

Figura 4: e-mail de spam para robar tokens OAuth de Gmail recibido ayer

Como contamos en la charla, el candado es verde, no se pide usuario y contraseña, el dominio es de Google... todo parece seguro. Pero lo que sucede es que se entrega, como se ve en el enlace que viene en el correo, el control a la cuenta a una aplicación maliciosa.

Figura 5: El enlace con la solicitud del firmado del tokens OAuth

A partir de ese momento, el atacante podrá leer el correo, escribir correos, enviar mensajes o, como hicimos en la prueba de concepto de Ransomcloud O365, crear un ransomware que cifre tu correo electrónico y te exija dinero por recuperarlo, algo que estoy seguro que veremos no tardando mucho.


Lo cierto es que la única solución para esto es la que ha aplicado Google, que es matar la app maliciosa para evitar que pueda seguir utilizado los tokens, pero mientras que el equipo de respuesta ante incidentes lo detecte, todos los tokens han podido ser utilizados por el atacante. 

Figura 7: Google elimina la app maliciosa que solicitaba el firmado del token OAuth

El riesgo principal de este tipo de ataques no es tanto el ataque masivo de spam, como se ha hecho ahora, ya que fácilmente se detecta y se cierra. El riesgo es, como se explica en el trabajo de Sappo, los APT con esquemas de Spear Phishing dirigido para robar tokens OAuth de empleados privilegiados dentro de las empresas. Toma precauciones.

Saludos Malignos!

2 comentarios:

macsonrisas dijo...

¡Hola!

Muchas gracias por el tiempo que te tomas en explicar lo que pasa.

Una pregunta: ¿cual sería el protocolo si han entrado en una cuenta de correo y han enviado emails falsos llevando a cabo el ataque del CEO? Lo cogieron a tiempo pero una empresa estuvo a punto de perder 40.000 euros. ¿Basta con cambiar la contraseña? ¿Hay que realizar más acciones? Muchas gracias.

Ariztigain dijo...

¿Y cómo se podrían mitigar este tipo de ataques por parte del usuario sin esperar a que actuara Google eliminando la app maliciosa?

Google ha actuado 'rápido' pero puede haber ataques de este tipo a otros proveedores que no tengan esta capacidad de maniobra.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares