Een beveiligingsprobleem in het Google Cloud Platform (GCP) had cyberaanvallers in staat kunnen stellen een niet-verwijderbare, kwaadaardige applicatie te verbergen in het Google-account van een slachtoffer, waardoor het account gedoemd was tot een staat van permanente, niet-detecteerbare infectie.
De bug, genaamd "GhostToken", werd ontdekt en gerapporteerd door Astrix Security-onderzoekers. Volgens een analyse die op 20 april door het team is vrijgegeven, zou de kwaadaardige app de weg kunnen hebben geëffend voor een verrassende reeks snode activiteiten, waaronder het lezen van het Gmail-account van het slachtoffer, het openen van bestanden in Google Drive en Google Photos, het bekijken van de Google-agenda, en locaties volgen via Google Maps.
Gewapend met die informatie kunnen aanvallers uiterst overtuigende imitatie- en phishing-aanvallen uitvoeren, of de persoon zelfs fysiek in gevaar brengen.
"In nog ergere gevallen kunnen aanvallers mogelijk bestanden verwijderen uit Google Drive, e-mails schrijven vanuit het Gmail-account van het slachtoffer om social engineering-aanvallen uit te voeren, gevoelige gegevens [exfiltreren] uit Google Agenda, Foto's of Documenten, en meer," onderzoekers schreven in de posting.
Een app die het slachtoffer 'geesten'
De Google Cloud Platform is gebouwd om duizenden applicaties voor eindgebruikers te hosten, die, net als andere app-ecosystemen, een officiële winkel hebben waar ze gemakkelijk kunnen worden gedownload - in dit geval de Google Marketplace - samen met markten van derden. Nadat de gebruiker toestemming heeft gegeven om te downloaden, ontvangt de applicatie een token op de achtergrond, waarmee toegang wordt verleend tot het Google-account van de installateur op basis van de machtigingen waar de app om vraagt.
Met behulp van de GhostToken-kwetsbaarheid kunnen cyberaanvallers een kwaadaardige applicatie maken die ze in een van de app-winkels kunnen plaatsen, vermomd als een legitiem hulpprogramma of dienst. Maar eenmaal gedownload, zal de app zichzelf verbergen voor de applicatiebeheerpagina van het Google-account van het slachtoffer.
Voor de gebruiker verdwijnt het in feite.
"Aangezien dit de enige plaats is waar Google-gebruikers hun applicaties kunnen zien en hun toegang kunnen intrekken, zorgt de exploit ervoor dat de kwaadaardige app niet meer uit het Google-account kan worden verwijderd", aldus de analyse. “De aanvaller daarentegen kan naar eigen goeddunken zijn applicatie zichtbaar maken en het token gebruiken om toegang te krijgen tot het account van het slachtoffer, en vervolgens de applicatie snel weer verbergen om de niet-verwijderbare staat te herstellen. Met andere woorden, de aanvaller houdt een 'ghost'-token op de rekening van het slachtoffer.'
Idan Gour, onderzoeker bij Astrix, zegt dat de fout verstrekkende gevolgen had kunnen hebben voor zowel bedrijven als individuen, en dat het dient als een wake-up call om ons te herinneren hoeveel toegang cloud-apps hebben tot ons leven en het gevaar Dat schaduw IT kan hebben voor ondernemingen.
"Door deze specifieke kwetsbaarheid kregen cyberaanvallers aan de ene kant toegang tot GCP-omgevingen van organisaties, maar aan de andere kant tot de persoonlijke Google Foto's van mensen en hun e-mailaccounts", zegt hij. "Het is de moeite waard eraan te denken dat deze verschillende services die we elke dag voor alles gebruiken, eigenlijk gevoelig zijn voor dit soort uitdagingen, en het gaat erom hoe we het gebruiken en, aan de andere kant, hoe we het beveiligen."
Een fantoom opsporen
Hoewel details schaars zijn, kwam het technische probleem over het algemeen voort uit de manier waarop Google OAuth-clients verwerkt wanneer ze buiten gebruik worden gesteld, aldus de onderzoekers. Derde partij OAuth-clients zijn vaak geïntegreerd in apps om gebruikers gemakkelijker te laten inloggen door gebruik te maken van bestaande authenticatie bij andere vertrouwde gebruikers. Een veelvoorkomend voorbeeld is het "inloggen met Facebook" dat door veel websites wordt aangeboden.
Voor zover het kan worden misbruikt, begint het met het feit dat elke applicatie die wordt aangeboden aan Google-gebruikers in de Google Marketplace (of andere websites) is gekoppeld aan een enkel GCP-"project" dat het host. Als de eigenaar van het GCP-project (meestal de ontwikkelaar) het verwijdert, komt het terecht in wat Astrix 'een limbo-achtige, in afwachting van verwijderingsstatus' noemt, en het 'blijft 30 dagen zo totdat het volledig is opgeschoond en verwijderd'.
Deze lopende verwijderingsprojecten kunnen volledig worden hersteld naar wens van de eigenaar vanaf een speciale pagina die voor dat doel is gemaakt. Voor eindgebruikers verdwijnt de app echter direct van de beheerpagina 'apps met toegang tot uw account'.
Het aanvalsscenario gaat dus als volgt:
- Een slachtoffer autoriseert een ogenschijnlijk legitieme (maar in werkelijkheid kwaadaardige) OAuth-toepassing. Op de achtergrond ontvangt de aanvaller een token voor het Google-account van het slachtoffer.
- De aanvallers verwijderen het project dat is gekoppeld aan de geautoriseerde OAuth-applicatie, die in een status voor verwijdering komt - de applicatie wordt verborgen en niet meer te verwijderen vanuit het perspectief van het slachtoffer.
- Wanneer de aanvallers toegang willen krijgen tot de gegevens van het slachtoffer, herstellen ze het project, krijgen een nieuw toegangstoken en gebruiken dit om toegang te krijgen tot de gegevens van het slachtoffer.
- De aanvallers verbergen de applicatie vervolgens onmiddellijk weer voor het slachtoffer.
- Om persistentie te behouden, moet de aanvalslus periodiek worden uitgevoerd voordat het in behandeling zijnde verwijderingsproject wordt opgeschoond.
"Tijdens stap 2 van de aanvalslus verschijnt de toegang opnieuw op de pagina 'Apps met toegang tot uw account', wat betekent dat het slachtoffer technisch gezien de toegang van de applicatie in dit tijdvenster kan verwijderen", leggen de onderzoekers uit. "Het is echter een zeer beperkt tijdsbestek dat duurt totdat de aanvaller stap 1 van de aanvalslus opnieuw uitvoert."
Eeuwige strijd om bruikbaarheid en veiligheid
Gour merkt op dat de kwetsbaarheid ongebruikelijk was omdat het verband hield met een kernfunctie die zich ogenschijnlijk gedroeg zoals het hoort: ontwikkelaars flexibiliteit bieden zonder eindgebruikers vastlopen met notities over apps die ze niet meer kunnen gebruiken.
"Normaal gesproken, als we het hebben over kwetsbaarheden, zijn dit dingen die kapot zijn en die je gewoon kunt patchen en verder kunt gaan", legt hij uit. “Maar in dit geval was het eigenlijk een kernfunctie van GCP en hoe je projecten maakt in GCP. Het is eigenlijk leuk om terug te kunnen keren naar dingen die je in het verleden deed, die je niet wilde wissen. Maar aan de andere kant, met een beetje creativiteit en een heel eenvoudige aanpak, zou het kunnen worden omgezet in iets dat de manier waarop identiteits- en toegangsbeheer wordt gedaan door een externe derde partij die in deze omgeving is geïntegreerd, volledig kan doorbreken ( OAuth).”
En inderdaad, de bug spreekt over de voortdurende push-pull tussen bruikbaarheid en beveiliging die voelbaar is in alle delen van een bedrijfsomgeving, merkt Gour op.
“De implicaties voor Cloud Security, vooral omdat het organisaties en de privé-informatie van zoveel mensen tegenwoordig raakt, is dat ja, soms staat het productiviteit of persoonlijke mobiliteit in de weg, en is dat wat we willen?” hij zegt. “Je moet vanaf de ontwerpfase aan deze dingen denken en functies evalueren voor de balans tussen waarde voor de gebruiker en beveiliging. Het is veel, veel, veel gemakkelijker om te doen voordat alles is geïmplementeerd en honderden of duizenden mensen het gebruiken.”
Ghost No More: Mitigatie en een patch
Eerder deze maand heeft Google een wereldwijde patch uitgerold, die het probleem verhelpt door ervoor te zorgen dat apps die in afwachting van verwijdering zijn, nog steeds zichtbaar zijn in het app-beheerscherm van een gebruiker. Astrix-onderzoekers waarschuwden echter dat hoewel ze zich niet bewust zijn van actieve uitbuiting, Google Workspace-beheerders moeten zoeken naar applicaties die mogelijk gebruikers hebben aangevallen voordat de patch op 7 april werd gestart.
Dit kan op twee manieren, aldus de onderzoekers:
- Zoeken naar applicaties waarvan de client-ID hetzelfde is als het 'displayText'-veld en hun toegang verwijderen als ze kwaadaardig blijken te zijn;
- Of het inspecteren van de OAuth-logboekgebeurtenissen in de functie 'Audit en onderzoek' van Google Workspace op tokenactiviteit van dergelijke apps.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Bron: https://www.darkreading.com/remote-workforce/-ghosttoken-opens-google-accounts-to-permanent-infection
- :is
- 1
- 20
- 7
- a
- in staat
- Over
- toegang
- toegang
- Volgens
- Account
- accounts
- actieve
- activiteit
- werkelijk
- beheerders
- Alles
- langs
- an
- analyse
- en
- elke
- gebruiken
- Aanvraag
- toepassingen
- nadering
- apps
- April
- ZIJN
- reeks
- AS
- geassocieerd
- At
- aanvallen
- Aanvallen
- controleren
- authenticatie
- achtergrond
- Balance
- gebaseerde
- Eigenlijk
- Strijd
- BE
- omdat
- wordt
- vaardigheden
- tussen
- Beetje
- zowel
- Breken
- Kapot
- Bug
- bebouwd
- ondernemingen
- by
- Agenda
- Bellen
- CAN
- geval
- gevallen
- uitdagingen
- klant
- klanten
- Cloud
- Cloud Platform
- Gemeen
- compleet
- Gevolgen
- voortzetten
- Kern
- kon
- ambachtelijke
- en je merk te creëren
- creativiteit
- GEVAAR
- gegevens
- dag
- dagen
- toegewijd aan
- Design
- gegevens
- Ontwikkelaar
- ontwikkelaars
- DEED
- anders
- ontdekt
- beneden
- Download
- rit
- nagesynchroniseerde
- gedurende
- gemakkelijker
- gemakkelijk
- ecosystemen
- e-mails
- Engineering
- Enterprise
- Komt binnen
- Milieu
- omgevingen
- vooral
- schatten
- Zelfs
- EVENTS
- Alle
- elke dag
- alles
- voorbeeld
- Voert uit
- bestaand
- uitgelegd
- Verklaart
- Exploiteren
- exploitatie
- Exploited
- extern
- uiterst
- verstrekkend
- Kenmerk
- Voordelen
- veld-
- Bestanden
- fout
- Flexibiliteit
- Voor
- FRAME
- oppompen van
- geheel
- algemeen
- krijgen
- Spook
- Vrijgevigheid
- Globaal
- Goes
- Kopen Google Reviews
- Google Maps
- toekenning
- hand
- Hebben
- he
- verborgen
- Verbergen
- houdt
- gastheer
- hosts
- Hoe
- Echter
- HTTPS
- Honderden
- ID
- Identiteit
- per direct
- geïmplementeerd
- implicaties
- in
- Anders
- Inclusief
- individuen
- informatie
- geïntegreerde
- in
- onderzoek
- kwestie
- IT
- HAAR
- zelf
- jpg
- als
- Beperkt
- Elke kleine stap levert grote resultaten op!
- Lives
- locaties
- langer
- Kijk
- gemaakt
- onderhouden
- MERKEN
- maken
- management
- veel
- veel mensen
- Maps
- markt
- Markten
- Mei..
- middel
- verzachting
- mobiliteit
- Maand
- meer
- New
- Nieuwe toegang
- normaal
- Opmerkingen
- OAuth
- of
- aangeboden
- officieel
- on
- EEN
- lopend
- Slechts
- opent
- or
- organisatorische
- organisaties
- Overige
- onze
- eigenaar
- pagina
- onderdelen
- feest
- verleden
- Patch
- in afwachting van
- Mensen
- Uitvoeren
- blijvend
- permissies
- volharding
- persoon
- persoonlijk
- perspectief
- fase
- Phishing
- phishing-aanvallen
- Foto's
- Fysiek
- plaats
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- dan
- privaat
- prive informatie
- processen
- produktiviteit
- project
- projecten
- Bewijzen
- doel
- snel
- RE
- lezing
- Realiteit
- ontvangt
- verwijst
- verwant
- uitgebracht
- niet vergeten
- herinneren
- verwijderen
- het verwijderen van
- gemeld
- onderzoeker
- onderzoekers
- terugkeren
- Opgerold
- s
- Zei
- dezelfde
- zegt
- scenario
- scherm
- beveiligen
- veiligheid
- beveiligingslek
- gevoelig
- bedient
- service
- Diensten
- moet
- kant
- sinds
- single
- So
- Social
- Social engineering
- iets
- spreekt
- specifiek
- starts
- Land
- Stap voor
- Still
- shop
- winkels
- eenvoudig
- dergelijk
- Talk
- team
- Technisch
- dat
- De
- hun
- Ze
- Deze
- spullen
- het denken
- Derde
- van derden
- dit
- duizenden kosten
- niet de tijd of
- naar
- teken
- Tracking
- vertrouwde
- Gedraaid
- bruikbaarheid
- .
- Gebruiker
- gebruikers
- doorgaans
- utility
- waarde
- via
- Slachtoffer
- zichtbaar
- kwetsbaarheden
- kwetsbaarheid
- was
- Manier..
- manieren
- we
- websites
- Wat
- welke
- en
- wil
- Met
- binnen
- zonder
- woorden
- waard
- schrijven
- You
- Your
- zephyrnet