Hackeo remoto de mi computadora a través de Chrome usando la cuenta de Google

Navega tus respuestas
3

Publiqué esto en Google ayer, pero creo que merece más visibilidad. Si lo que creo que pudo haber sucedido, realmente sucedió, entonces Chrome podría no ser seguro:

Algo extraño sucedió ayer por la mañana y estoy tratando de entenderlo.

Tengo un servidor de Windows 2012 que aloja máquinas virtuales, pero ayer solo quería hacer una búsqueda rápida de los tipos de mortero y no iniciar sesión en una máquina virtual. Symantec está instalado (12.1.5 - sí, ya sé que es antiguo) y solo visita los sitios verdes de WOT. Abrí algunos de los resultados de búsqueda en pestañas y comencé a revisarlos. Luego, de repente, Chrome comenzó a pasar las páginas y tuve un mensaje de que Chrome estaba descargando e instalando algo. Entonces me di cuenta de que estaba conectado a una cuenta de Google. era la cuenta del asistente de mi administrador de propiedades (vivo en un condominio). Utilicé el administrador de tareas para matar a Chrome inmediatamente y todo se detuvo. Tengo Chrome 59.0.3071.115 en mi servidor, pero parece que acaba de descargar una actualización.

No pude averiguar cómo diablos el asistente del administrador de la propiedad pudo haber iniciado sesión en mi servidor y por qué se conectó a Chrome. Lo comprobé y Symantec estaba corriendo. Revisé el enrutador de mi firewall y el RDP aún estaba deshabilitado en el servidor, además, esta era la consola de administración y ¿por qué un pirata informático haría algo tan obvio? Siempre cierro mi pantalla (antiguo hábito) cuando salgo de mi escritorio, aunque solo mi esposa y yo vivimos aquí, y uno de nosotros casi siempre está en casa. [Además de los bloqueos de sesión después de un tiempo de espera de 15 minutos.] No hay forma de que alguien tenga acceso físico a menos que tomen la llave maestra y entren mientras estábamos dormidos, pero eso hubiera sido realmente tonto. [Y sería casi imposible para alguien más saber mi contraseña.] Aun así, ¿por qué iniciar sesión en Google?

Descargué MalwareBytes y ejecuté un escaneo en mi disco C con él y con Symantec. Ambos solo encontraron unas pocas cookies de seguimiento.

También verifiqué mis principales puertos de servicio usando grc.com y todo está en modo oculto. Confirmé con el Visor de eventos que no se estaban ejecutando sesiones de RDP (la última fue hace meses).

Lo único en lo que puedo pensar es que uno de los sitios en los que hice clic en el código de ejecución que inició sesión automáticamente en Chrome con la cuenta de asistente del administrador de la propiedad. ¿Por qué? Dado que ambos estamos en el mismo edificio, nuestras dos IP se encontrarán en un rango de IP similar. Quizás la computadora del asistente está siendo pirateada regularmente e intentaban volver a ingresar. Antes de matar a Chrome, llegué a la configuración de la cuenta de usuario y la contraseña del asistente no se había cambiado desde enero de este año.

No creo que el asistente sea lo suficientemente informático como para estar detrás de todo esto. Lo más probable es que tenga una contraseña simple y simplemente haya sido hackeado. No sé qué acceso tendría a su cuenta, pero imagino que un programa remoto podría darle instrucciones para cargar archivos. Si es así, podrían tener las contraseñas de todos los paneles de seguridad del edificio.

No he usado mi cuenta de Google durante años, y creo que nunca la usé en mi servidor.

¿Puede alguien confirmar si este es un escenario posible? Si no es así, entonces parece que tuvimos un invasor aquí y llamaré a la policía. Notificaré a la oficina del gerente el lunes.

No, no tengo acceso a la cuenta. Sin embargo, si hago clic en "Iniciar sesión", la cuenta aparece como predeterminada, pero no sé la contraseña. Además, estoy asumiendo que es la cuenta del administrador de la propiedad. No he hablado con ellos todavía, pero planeo esta tarde una vez que reciba una respuesta para una reunión. Debería poder confirmar si es su cuenta. Una vez que hayan cambiado la contraseña, publicaré más información.

Las únicas extensiones que tengo son:

  • Adobe Acrobat
  • Google Docs
  • Google Docs sin conexión
  • Hojas de Google
  • WOT: Web of Trust, clasificaciones de reputación de sitios web.

Existe la posibilidad de que alguien haya obtenido la llave y haya ingresado a la unidad. Parece realmente improbable, pero no es imposible. Estoy en la pizarra aquí y ha habido muchos conflictos. Cuatro miembros de la junta han renunciado como resultado de un conflicto con el Presidente durante el último año o dos. No tengo como me recomendaron otros en el edificio para permanecer. El administrador de la propiedad se acaba de dejar ir. Tenía plena fe y confianza en ella. A partir de esta mañana comenzará un nuevo administrador de propiedades y acabamos de contratar a un nuevo superintendente asistente. Mi primer pensamiento fue que intentaron obtener pruebas o eliminarlas: uno de los miembros de la junta está demandando a otro. Pero simplemente no lo sé.

Si es posible que Chrome sea "hackeable" como se describe, entonces me parece el escenario más probable. Es uno u otro.

    
pregunta BobH2 30.07.2017 - 16:27
fuente

1 respuesta

0

Podría ser alguien que utilice la aplicación Chrome Remote Desktop para pasar de su computadora a la suya. Esta aplicación de Chrome ha sido diseñada para ser fácil de usar, incluso por personas no técnicas.

Puede verificar si se ha instalado yendo a chrome://extensions/ y mirando la sección de aplicaciones de Chrome. Si se ha instalado, puede eliminarlo o ejecutarlo y deshabilitar el acceso remoto.

Todo lo que necesita para operar es el firewall abierto para:

  • Tráfico UDP de salida
  • Respuestas UDP entrantes
  • Tráfico en los puertos TCP 443 (HTTPS) y 5222 (XMPP)
respondido por el RoadWarrior 12.06.2018 - 14:53
fuente

Lea otras preguntas en las etiquetas

propiedad de TPM, ¿cuál es el proceso de bajo nivel? Uso de la memoria y la CPU durante un ataque de denegación de servicio. ¿Cómo entender los datos?