یک آسیبپذیری امنیتی در پلتفرم ابری Google (GCP) میتواند به مهاجمان سایبری اجازه دهد تا یک برنامه غیرقابل حذف و مخرب را در حساب Google قربانی پنهان کنند و حساب را به یک وضعیت عفونت دائمی و غیرقابل شناسایی محکوم کند.
این باگ که "GhostToken" نام دارد، توسط محققان امنیتی Astrix کشف و گزارش شده است. بر اساس تحلیلی که این تیم در 20 آوریل منتشر کرد، این برنامه مخرب میتوانست راه را برای مجموعهای شگفتانگیز از فعالیتهای شرورانه هموار کند، از جمله خواندن حساب Gmail قربانی، دسترسی به فایلها در Google Drive و Google Photos، مشاهده تقویم Google، و ردیابی مکان ها از طریق نقشه های گوگل
مهاجمان با داشتن این اطلاعات میتوانند حملات جعل هویت و فیشینگ بسیار قانعکنندهای انجام دهند یا حتی فرد را در معرض خطر فیزیکی قرار دهند.
«در موارد بدتر… مهاجمان ممکن است بتوانند فایلها را از Google Drive حذف کنند، ایمیلهایی را از حساب Gmail قربانی برای انجام حملات مهندسی اجتماعی بنویسند، دادههای حساس را از Google Calendar، Photos، یا Docs و موارد دیگر [استخراج کنند». محققان در این پست نوشتند.
برنامه ای که قربانی را "ارواح" می کند
La Google Cloud Platform برای میزبانی هر یک از هزاران برنامه برای کاربران نهایی ساخته شده است، که مانند سایر اکوسیستم های برنامه، دارای یک فروشگاه رسمی هستند که می توان آنها را به راحتی دانلود کرد - در این مورد، بازار گوگل - همراه با بازارهای شخص ثالث. پس از مجوز دانلود توسط کاربر، برنامه یک رمز در پسزمینه دریافت میکند که بر اساس مجوزهایی که برنامه درخواست میکند، به حساب Google نصبکننده دسترسی پیدا میکند.
با استفاده از آسیبپذیری GhostToken، مهاجمان سایبری میتوانند برنامهای مخرب ایجاد کنند که میتوانند آن را در یکی از فروشگاههای برنامه نصب کنند و به عنوان یک ابزار یا خدمات قانونی ظاهر شوند. اما پس از بارگیری، برنامه خود را از صفحه مدیریت برنامه حساب Google قربانی پنهان می کند.
برای کاربر، اساساً ناپدید می شود.
بر اساس تجزیه و تحلیل، «از آنجایی که این تنها جایی است که کاربران Google میتوانند برنامههایشان را ببینند و دسترسی آنها را لغو کنند، این سوءاستفاده باعث میشود برنامه مخرب از حساب Google غیرقابل حذف شود». از طرف دیگر، مهاجم می تواند برنامه خود را پنهان کند و از توکن برای دسترسی به حساب قربانی استفاده کند و سپس به سرعت برنامه را دوباره پنهان کند تا حالت غیرقابل حذف آن را بازگرداند. به عبارت دیگر، مهاجم یک توکن «شبح» در حساب قربانی نگه میدارد.»
ایدان گور، محقق Astrix، میگوید که این نقص میتواند عواقب گستردهای هم برای کسبوکارها و هم برای افراد داشته باشد و به عنوان زنگ خطری عمل میکند تا به یاد بیاوریم که اپلیکیشنهای ابری چقدر دسترسی به زندگی ما دارند و خطر آن چقدر است. که سایه IT می تواند برای شرکت ها داشته باشد.
او میگوید: «این آسیبپذیری خاص به مهاجمان سایبری اجازه میدهد از یک طرف به محیطهای GCP سازمانی دسترسی داشته باشند، اما از طرف دیگر، به Google Photos شخصی افراد و حسابهای ایمیل آنها دسترسی داشته باشند. شایان ذکر است که این سرویسهای متفاوتی که ما هر روز برای همه چیز استفاده میکنیم، در واقع مستعد این نوع [از] چالشها هستند، و همه چیز به نحوه استفاده ما از آن و از طرف دیگر، نحوه ایمن کردن آن بستگی دارد.»
ردیابی یک فانتوم
به گفته محققان، در حالی که جزئیات ناچیز است، مشکل فنی به طور کلی ناشی از روشی است که Google مشتریان OAuth را هنگام از کار انداختن آنها پردازش می کند. شخص ثالث مشتریان OAuth اغلب در برنامهها ادغام میشوند تا با استفاده از احراز هویت موجود با سایر کاربران قابل اعتماد، کاربران را راحتتر وارد کنند. یک مثال رایج "ورود با فیس بوک" است که توسط بسیاری از وب سایت ها ارائه می شود.
تا آنجا که چگونه می توان از آن بهره برداری کرد، با این واقعیت شروع می شود که هر برنامه کاربردی ارائه شده به کاربران Google در Google Marketplace (یا سایر وب سایت ها) با یک "پروژه" GCP مرتبط است که میزبان آن است. اگر مالک پروژه GCP (معمولاً توسعهدهنده) آن را حذف کند، وارد چیزی میشود که Astrix از آن به عنوان «وضعیت حذف در حال انتظار برزخ مانند» یاد میکند، و «به مدت 30 روز در همین حالت باقی میماند تا زمانی که به طور کامل پاک و حذف شود».
این پروژه های در حال حذف را می توان به طور کامل به خواست مالک از صفحه اختصاصی ساخته شده برای این منظور بازیابی کرد. با این حال، برای کاربران نهایی، برنامه بلافاصله از صفحه مدیریت «برنامههای با دسترسی به حساب شما» ناپدید میشود.
بنابراین، سناریوی حمله به این صورت است:
- قربانی یک برنامه OAuth ظاهراً قانونی (اما در واقعیت شیطانی) را مجوز می دهد. در پس زمینه، مهاجم یک توکن برای حساب گوگل قربانی دریافت می کند.
- مهاجمان پروژه مرتبط با برنامه مجاز OAuth را حذف می کنند، که وارد وضعیت حذف در انتظار می شود - برنامه از دید قربانی پنهان و غیرقابل حذف می شود.
- هر زمان که مهاجمان بخواهند به داده های قربانی دسترسی داشته باشند، پروژه را بازیابی می کنند، یک نشانه دسترسی جدید دریافت می کنند و از آن برای دسترسی به داده های قربانی استفاده می کنند.
- سپس مهاجمان بلافاصله برنامه را از قربانی پنهان می کنند.
- برای حفظ پایداری، حلقه حمله باید به صورت دوره ای قبل از پاکسازی پروژه در انتظار حذف اجرا شود.
محققان توضیح دادند: «در طول مرحله 2 حلقه حمله، دسترسی مجدداً در صفحه «برنامههای دارای دسترسی به حساب شما» ظاهر میشود، به این معنی که قربانی ممکن است از نظر فنی دسترسی برنامه را در این پنجره زمانی حذف کند. با این حال، این یک بازه زمانی بسیار محدود است که تا زمانی که مهاجم مرحله 1 حلقه حمله را دوباره اجرا کند، طول می کشد.
نبرد ابدی قابلیت استفاده و امنیت
گور خاطرنشان می کند که این آسیب پذیری یک آسیب پذیری غیرمعمول بود زیرا مربوط به یک ویژگی اصلی بود که ظاهراً همانطور که باید رفتار می کرد: دادن انعطاف پذیری به توسعه دهندگان بدون گرفتار شدن کاربران نهایی با یادداشت هایی روی برنامه هایی که دیگر نمی توانند استفاده کنند.
او توضیح میدهد: «معمولاً وقتی در مورد آسیبپذیریها صحبت میکنیم، اینها چیزهایی هستند که خراب شدهاند و میتوانید آنها را اصلاح کنید و ادامه دهید. اما در این مورد، در واقع یکی از ویژگیهای اصلی GCP و نحوه ایجاد پروژهها در GCP بود. در واقع خیلی خوب است که بتوانید به کارهایی که در گذشته انجام داده اید و قصد پاک کردنشان را نداشتید بازگردید. اما از سوی دیگر، با کمی خلاقیت و یک رویکرد بسیار سرراست، می توان آن را به چیزی تبدیل کرد که می تواند به طور کامل روش مدیریت هویت و دسترسی توسط شخص ثالث خارجی که در این محیط ادغام شده است را بشکند. OAuth)
گور خاطرنشان میکند، در واقع، این اشکال از فشار کشش مداوم بین قابلیت استفاده و امنیت صحبت میکند که در تمام بخشهای یک محیط سازمانی احساس میشود.
«پیامدهای برای ابر امنیتبه خصوص که امروزه سازمانها و اطلاعات خصوصی بسیاری از افراد را تحت تأثیر قرار میدهد، بله، گاهی اوقات مانع بهرهوری یا تحرک شخصی میشود و آیا این همان چیزی است که ما میخواهیم؟» او می گوید. "شما باید از مرحله طراحی به این چیزها فکر کنید و ویژگی ها را برای تعادل بین ارزش برای کاربر و امنیت ارزیابی کنید. قبل از اینکه همه چیز اجرا شود و صدها یا هزاران نفر از آن استفاده کنند انجام این کار بسیار، بسیار، بسیار آسانتر است.
Ghost No More: Mitigation & a Patch
در اوایل این ماه، گوگل یک وصله جهانی ارائه کرد و این مشکل را با اطمینان از اینکه برنامههایی که در حالت حذف معلق هستند هنوز در صفحه مدیریت برنامه کاربر قابل مشاهده هستند، برطرف کرد. با این حال، محققان Astrix هشدار دادند که اگرچه از بهره برداری فعال آگاه نیستند، مدیران Google Workspace باید به دنبال برنامه هایی باشند که ممکن است قبل از راه اندازی وصله در 7 آوریل به کاربران حمله کرده باشند.
به گفته محققان، این کار به دو صورت انجام می شود:
- به دنبال برنامههایی میگردید که شناسه کلاینتشان با فیلد «displayText» یکسان است و در صورت اثبات مخرب بودن، دسترسی آنها را حذف میکنید.
- یا بازرسی رویدادهای گزارش OAuth در ویژگی «Audit and Investigation» Google Workspace برای فعالیت نشانهای از این قبیل برنامهها.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/remote-workforce/-ghosttoken-opens-google-accounts-to-permanent-infection
- :است
- 1
- 20
- 7
- a
- قادر
- درباره ما
- دسترسی
- دسترسی
- مطابق
- حساب
- حساب ها
- فعال
- فعالیت
- واقعا
- مدیران
- معرفی
- در امتداد
- an
- تحلیل
- و
- هر
- نرم افزار
- کاربرد
- برنامه های کاربردی
- روش
- برنامه های
- آوریل
- هستند
- صف
- AS
- مرتبط است
- At
- حمله
- حمله
- حسابرسی
- تصدیق
- زمینه
- برج میزان
- مستقر
- اساسا
- نبرد
- BE
- زیرا
- شود
- قبل از
- میان
- بیت
- هر دو
- شکستن
- شکسته
- اشکال
- ساخته
- کسب و کار
- by
- تقویم
- صدا
- CAN
- مورد
- موارد
- چالش ها
- مشتری
- مشتریان
- ابر
- بستر ابری
- مشترک
- به طور کامل
- عواقب
- ادامه دادن
- هسته
- میتوانست
- سادگی
- ایجاد
- خلاقیت
- خطر
- داده ها
- روز
- روز
- اختصاصی
- طرح
- جزئیات
- توسعه دهنده
- توسعه دهندگان
- DID
- مختلف
- کشف
- پایین
- دانلود
- راندن
- دوبله شده
- در طی
- آسان تر
- به آسانی
- اکوسیستم
- پست الکترونیک
- ایمیل
- مهندسی
- سرمایه گذاری
- وارد می شود
- محیط
- محیط
- به خصوص
- ارزیابی
- حتی
- حوادث
- هر
- هر روز
- همه چیز
- مثال
- اجرا می کند
- موجود
- توضیح داده شده
- توضیح می دهد
- بهره برداری
- بهره برداری
- سوء استفاده قرار گیرد
- خارجی
- خیلی
- فیس بوک
- گسترده
- ویژگی
- امکانات
- رشته
- فایل ها
- نقص
- انعطاف پذیری
- برای
- FRAME
- از جانب
- کاملا
- عموما
- دریافت کنید
- روح
- دادن
- جهانی
- می رود
- گوگل
- نقشه های گوگل
- اعطای
- دست
- آیا
- he
- پنهان
- پنهان شدن
- دارای
- میزبان
- میزبان
- چگونه
- اما
- HTTPS
- صدها نفر
- ID
- هویت
- بلافاصله
- اجرا
- پیامدهای
- in
- در دیگر
- از جمله
- افراد
- اطلاعات
- یکپارچه
- به
- تحقیق
- موضوع
- IT
- ITS
- خود
- JPG
- پسندیدن
- محدود شده
- کوچک
- زندگی
- مکان
- دیگر
- نگاه کنيد
- ساخته
- حفظ
- باعث می شود
- ساخت
- مدیریت
- بسیاری
- بسیاری از مردم
- نقشه ها
- بازار
- بازارها
- ممکن است..
- به معنی
- کاهش
- تحرک
- ماه
- بیش
- جدید
- دسترسی جدید
- به طور معمول
- یادداشت
- اوت
- of
- ارائه شده
- رسمی
- on
- ONE
- مداوم
- فقط
- باز می شود
- or
- سازمانی
- سازمان های
- دیگر
- ما
- مالک
- با ما
- بخش
- حزب
- گذشته
- وصله
- انتظار
- مردم
- انجام
- دائمي
- مجوز
- اصرار
- شخص
- شخصی
- چشم انداز
- فاز
- فیشینگ
- حملات فیشینگ
- عکس
- فیزیکی
- محل
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- لطفا
- خصوصی
- اطلاعات خصوصی
- فرآیندهای
- بهره وری
- پروژه
- پروژه ها
- ثابت كردن
- هدف
- به سرعت
- RE
- مطالعه
- واقعیت
- دریافت
- اشاره دارد
- مربوط
- منتشر شد
- به یاد داشته باشید
- به خاطر سپردن
- برداشتن
- از بین بردن
- گزارش
- پژوهشگر
- محققان
- برگرداندن
- رول
- s
- سعید
- همان
- می گوید:
- سناریو
- پرده
- امن
- تیم امنیت لاتاری
- آسیب پذیری امنیتی
- حساس
- خدمت
- سرویس
- خدمات
- باید
- طرف
- پس از
- تنها
- So
- آگاهی
- مهندسی اجتماعی
- چیزی
- صحبت می کند
- خاص
- شروع می شود
- دولت
- گام
- هنوز
- opbevare
- پرده
- ساده
- چنین
- صحبت
- تیم
- فنی
- که
- La
- شان
- آنها
- اینها
- اشیاء
- تفکر
- سوم
- شخص ثالث
- این
- هزاران نفر
- زمان
- به
- رمز
- پیگردی
- مورد اعتماد
- تبدیل
- قابلیت استفاده
- استفاده کنید
- کاربر
- کاربران
- معمولا
- سودمندی
- ارزش
- از طريق
- قربانی
- قابل رویت
- آسیب پذیری ها
- آسیب پذیری
- بود
- مسیر..
- راه
- we
- وب سایت
- چی
- که
- در حین
- اراده
- با
- در داخل
- بدون
- کلمات
- با ارزش
- نوشتن
- شما
- شما
- زفیرنت