Vulnerabilidad de comentarios de Google Docs explotada

Adquirida por Check Point en agosto de 2021 por 280 millones de dólares, Avanan se especializa en la protección de la mensajería en la nube. En sus equipos, Jeremy Fuchs trabaja como investigador de ciberseguridad y en sus últimos meses ha detectado numerosos agujeros de seguridad vinculados a Google Docs. Después del descubrimiento de un exploit en junio y otra falla en octubre, se encontró otra vulnerabilidad en diciembre. Resultó en una ola masiva de piratería que aprovechó la función de comentarios en Google Docs, dirigida principalmente a los usuarios de Outlook.

“En este ataque, los piratas informáticos agregan un comentario a un documento de Google. El comentario menciona el objetivo con una @. Luego, se envía automáticamente un correo electrónico a la bandeja de entrada de esa persona. En este correo electrónico, que es de Google, se incluye el comentario completo, incluidos los enlaces y el texto incorrectos. Además, no se muestra la dirección de correo electrónico, solo un nombre, lo que facilita el trabajo de los atacantes”, explica Jeremy Fuchs.

Engañar la vigilancia del usuario

El procedimiento consiste en crear una cuenta ficticia, como [email protected], y enviar un correo electrónico de spear phishing. En este último se indica en el encabezado que “mal actor te mencionó en el siguiente documento”. El problema es que si se indica el nombre de un colega, por ejemplo, o incluso un superior, la víctima podrá pensar que este correo electrónico es legítimo. El correo electrónico también contiene el comentario completo, junto con enlaces y texto, lo que significa que la víctima nunca tiene que acceder al presunto documento, ya que la carga útil se encuentra en el propio correo electrónico. "El atacante ni siquiera tiene que compartir el documento, solo menciona a la persona en el comentario", advierte Jeremy Fuchs.

Según el experto en ciberseguridad Avanan, más de 500 bandejas de entrada repartidas en 30 instancias se han visto afectadas por estos ataques para los que los delincuentes han utilizado más de 100 cuentas de Gmail distintas. El vector de ataque, a través de una cuenta de correo electrónico real de Google, hace que esta operación maliciosa sea difícil de autenticar y solo muestra un nombre, lo que dificulta que los filtros de spam la detecten.

Buenas prácticas a seguir

Para evitar que los usuarios queden atrapados, se pueden difundir, en particular, algunas medidas: "animar a los usuarios finales a tachar la dirección de correo electrónico en el comentario para asegurarse de que es legítimo, recordarles la higiene informática básica, en particular, examinando los enlaces y inspeccionar la gramática y en caso de duda ponerse en contacto con el remitente legítimo y confirmar que tenía la intención de enviar el documento ”