Cabecera-v2-web.jpg

Vulnerabilidad en Google Docs podría haber permitido a atacantes ver documentos confidenciales


1.jpg

07/01/2021

Google ha corregido un error en su herramienta de comentarios incorporada en todos sus servicios que podría ser aprovechado por un atacante para robar capturas de pantalla de documentos confidenciales de Google Docs simplemente insertándolos en un sitio web malicioso.

Puede secuestrar la captura de pantalla de Google Docs de cualquier documento que explotara una mala configuración posterior al mensaje y un comportamiento del navegador.

Google tiene una función llamada "Enviar comentarios" o "Ayudar a que los Documentos mejoren" en la mayoría de sus productos, incluido Google Docs. Como su nombre indica, ayuda a Google a obtener comentarios de los usuarios cuando se enfrentan a algún problema. La función tiene opciones para agregar capturas de pantalla con una breve descripción sobre el problema.


Como esta es una característica común para la mayoría de sus sitios, han implementado la funcionalidad en el sitio web principal https://www.google.com, para evitar la duplicación, y se han integrado a otros dominios a través de Iframe que carga el contenido de la ventana emergente, que luego redirige esos valores RGB al dominio de los comentarios, que finalmente construye la imagen y la envía de vuelta en formato codificado Base64.

En particular, la falla se debe a la falta de un encabezado X-Frame-Options en el dominio de Google Docs, lo que hizo posible cambiar el origen del destino del mensaje y explotar la comunicación de origen cruzado entre la página y el marco que contiene.

Si bien el ataque requiere alguna forma de interacción del usuario, es decir, hacer clic en el botón "Enviar comentarios", un exploit podría aprovechar fácilmente esta debilidad para capturar la URL de la captura de pantalla cargada y exfiltrar a un sitio malicioso.

Esto se puede lograr incrustando un archivo de Google Docs en un iFrame de un sitio web fraudulento y secuestrando el marco emergente de comentarios para redirigir el contenido a un dominio elegido por el atacante.

No proporcionar un origen de destino durante la comunicación de origen cruzado plantea problemas de seguridad, ya que revela los datos que se envían a cualquier sitio web.

Recomendaciones de seguridad

  • Mantener actualizados los sistemas utilizados (sistemas operativos, navegadores, y otros) a las últimas versiones disponibles en los sitios web oficiales.
  • Instalar un software de protección antivirus y mantenerlos actualizados tanto en sus versiones vigentes como en la base de datos de malwares.

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11