Un nuevo tipo de ataque, al que se ha denominado “Hombre-En-La-Nube” (MITC), amenaza a computadores que se usan para servicios de sincronización de archivos en la nube.
Una investigación de Imperva muestra que han podido tomar el control del equipo de la víctima para la extrusión de datos así como el acceso remoto utilizando los servicios de sincronización de archivos comunes, tales como OneDrive, Dropbox, Google Drive y Box.
Los servicios de sincronización de archivos pueden ser convertidos en una infraestructura para comprometer el equipo de la víctima, facilitando un canal para Comando y Control (C&C), exfiltración de datos y acceso remoto para las actividades cibercriminales del atacante MITC.
El ataque no requiere código malicioso ni exploit para ser utilizado. No aprovecha vulnerabilidad alguna en el servicio de sincronización. Se trata de un defecto de diseño en el proceso de autorización para la sincronización.
La aplicación de la sincronización se basa en un token de sincronización, obtenido después del proceso de autenticación de la aplicación de sincronización. El token se almacena en el equipo, ya sea en el registro del sistema o en un archivo. El token es independiente de la máquina, se puede utilizar de diferentes máquinas. Copiar el token para una cuenta en el lugar correcto del equipo permitirá utilizar la aplicación de sincronización para la cuenta representada por el token. Por lo tanto, un atacante puede obtener acceso a la cuenta de la víctima mediante el robo del token sin tener que comprometer la contraseña de la víctima, haciéndolo muy difícil de detectar contrario a los ataques que implican el compromiso de las contraseñas.
Además de acceder a información sensible, el atacante podría manipular los archivos de la carpeta de sincronización e insertar código malware para ejecutarlo en el equipo de la víctima una vez que sean abiertos después de ser sincronizados. Entonces el atacante podría borrarlos y volver a colocar los archivos originalmente manipulados para borrar cualquier rastro del ataque.
La recuperación de la cuenta comprometida para la sincronización de archivos no siempre es posible. La cuenta tendría que ser cerrada.
El uso de protocolos de sincronización conocidos hace que sea difícil (si no imposible) distinguir el tráfico malicioso del tráfico normal. Incluso si se sospecha de un compromiso, el descubrimiento y análisis de las pruebas no será fácil, ya que son pocos los indicios de compromiso que se quedan en el equipo.
Las medidas de seguridad perimetral y de equipo de punto final son insuficientes para detectar y mitigar esta amenaza ya que ningún código malicioso persiste en el punto final y no hay canales de tráfico de salida anormales.
Se estima que los ataques MITC serán frecuentes debido a que muchas organizaciones utilizan los servicios de sincronización de archivos o permiten usarlos a su personal, por lo que es recomendable que las organizaciones inviertan más esfuerzos en la vigilancia y protección de sus datos, ya sea en las instalaciones o en la nube.