GhostToken : une faille GCP qui favorisait les backdoors

GhostToken

GhostToken : c’est le nom qu’on a donné à une faille récemment corrigée par Google. Quels en étaient les ressorts ?

GhostToken, pas vraiment critique ? Il s’est en tout cas écoulé près de dix mois entre le signalement de cette faille à Google et la mise en place d’un correctif.

Que permettait cette vulnérabilité ? Dans les grandes lignes, compliquer la détection d’applications malveillantes connectées à des comptes Google. Ce en les masquant sur la page « Applications tierces ayant accès à votre compte ».

Développer les apps en question implique de les lier à un projet GCP. Lorsqu’on en « éteint » un, il n’est pas immédiatement supprimé : une fenêtre de restauration de 30 jours s’enclenche d’abord.

Jusqu’au déploiement du correctif, pendant cette période de 30 jours, les applications tierces disparaissaient de la page de gestion des accès. En parallèle, restaurer le projet réactivait le jeton principal (permettant de générer les jetons d’accès).

Grâce à GhostToken, les attaquants bénéficiaient donc de bien plus de discrétion – une forme de porte dérobée. Cela supposait toutefois qu’en premier lieu, la victime ait installé l’app malveillante…

À consulter pour davantage de contexte :

Cybersécurité : 5 métiers parmi les plus cotés en France
13 failles 0-day vectrices de cyberespionnage en 2022
Une faille fait basculer les antivirus du côté obscur
Développement logiciel sécurisé : le choix des Five Eyes
Cybersécurité : derrière l’essor du couple EDR-MFA, ce que perçoit le CESIN

Photo d’illustration © weerapat1003 – Adobe Stock