O vulnerabilitate de securitate a platformei Google Cloud (GCP) le-ar fi putut permite atacatorilor cibernetici să ascundă o aplicație rău intenționată, indemontabilă în interiorul contului Google al victimei, condamnând contul la o stare de infecție permanentă, nedetectabilă.
Bug-ul, denumit „GhostToken”, a fost descoperit și raportat de cercetătorii Astrix Security. Potrivit unei analize publicate de echipă pe 20 aprilie, aplicația rău intenționată ar fi putut deschide calea pentru o serie uluitoare de activități nefaste, inclusiv citirea contului Gmail al victimei, accesarea fișierelor din Google Drive și Google Photos, vizualizarea calendarului Google și urmărirea locațiilor prin Google Maps.
Înarmați cu aceste informații, atacatorii ar putea crea atacuri extrem de convingătoare de uzurpare a identității și phishing, sau chiar să pună persoana în pericol fizic.
„În cazuri și mai grave... atacatorii pot să șteargă fișiere de pe Google Drive, să scrie e-mailuri din contul Gmail al victimei pentru a efectua atacuri de inginerie socială, să [exfiltreze] date sensibile din Google Calendar, Fotografii sau Documente și multe altele.” au scris cercetătorii în postare.
O aplicație care „fantome” victimă
Platforma Google Cloud este construit pentru a găzdui oricare dintre miile de aplicații pentru utilizatorii finali, care, ca și alte ecosisteme de aplicații, au un magazin oficial de unde pot fi descărcate cu ușurință - în acest caz, Google Marketplace - împreună cu piețele terțe. Odată autorizată pentru descărcare de către utilizator, aplicația primește un token în fundal, acordând acces la contul Google al instalatorului pe baza permisiunilor pe care le solicită aplicația.
Folosind vulnerabilitatea GhostToken, atacatorii cibernetici pot crea o aplicație rău intenționată pe care o pot instala într-unul dintre magazinele de aplicații, prefăcându-se ca o utilitate sau serviciu legitim. Dar odată descărcată, aplicația se va ascunde de pagina de gestionare a aplicației contului Google a victimei.
Pentru utilizator, practic dispare.
„Deoarece acesta este singurul loc în care utilizatorii Google își pot vedea aplicațiile și le pot revoca accesul, exploatarea face ca aplicația rău intenționată să nu fie demontată din contul Google”, potrivit analizei. „Atacatorul, pe de altă parte, poate, după bunul plac, să-și dezvăluie aplicația și să folosească jetonul pentru a accesa contul victimei, apoi să ascundă rapid aplicația din nou pentru a-și restabili starea de nedemontat. Cu alte cuvinte, atacatorul deține un jeton „fantomă” în contul victimei.”
Idan Gour, cercetător la Astrix, spune că defectul ar fi putut avea consecințe de amploare atât pentru companii, cât și pentru persoane fizice și că servește ca un semnal de alarmă pentru a ne aminti cât de mult acces au aplicațiile cloud în viața noastră și pericolul. acea umbră IT-ul poate avea pentru întreprinderi.
„Această vulnerabilitate specifică a permis atacatorilor cibernetici, pe de o parte, să aibă acces la mediile organizaționale GCP, dar, pe de altă parte, la Google Photos personale ale oamenilor și la conturile lor de e-mail”, spune el. „Merită să ne amintim că aceste servicii diferite pe care le folosim în fiecare zi pentru orice sunt de fapt predispuse la astfel de provocări și totul este despre modul în care le folosim și, pe de altă parte, despre cum le asigurăm.”
Urmărirea unei fantome
Deși detaliile sunt puține, problema tehnică a apărut în general din modul în care Google procesează clienții OAuth atunci când sunt scoși din funcțiune, au spus cercetătorii. Terț Clienți OAuth sunt adesea integrate în aplicații pentru a le permite să se conecteze mai ușor utilizatorilor utilizând autentificarea existentă cu alți utilizatori de încredere. Un exemplu comun este „conectarea cu Facebook” oferit de multe site-uri web.
În ceea ce privește modul în care ar putea fi exploatat, începe cu faptul că fiecare aplicație oferită utilizatorilor Google în Google Marketplace (sau alte site-uri web) este asociată cu un singur „proiect” GCP care o găzduiește. Dacă proprietarul proiectului GCP (de obicei, dezvoltatorul) îl șterge, acesta intră în ceea ce Astrix se referă ca „o stare de ștergere asemănătoare limboului, în așteptare” și „rămâne așa timp de 30 de zile până când este complet curățat și șters”.
Aceste proiecte în așteptare de ștergere pot fi complet restaurate la dorința proprietarului dintr-o pagină dedicată realizată în acest scop. Cu toate acestea, pentru utilizatorii finali, aplicația dispare imediat din pagina de gestionare „aplicații cu acces la contul tău”.
Astfel, scenariul de atac decurge astfel:
- O victimă autorizează o aplicație OAuth aparent legitimă (dar, în realitate, diabolică). În fundal, atacatorul primește un token pentru contul Google al victimei.
- Atacatorii șterg proiectul asociat cu aplicația OAuth autorizată, care intră într-o stare de ștergere în așteptare - aplicația devine ascunsă și de nedemontat din perspectiva victimei.
- Ori de câte ori atacatorii doresc să aibă acces la datele victimei, restaurează proiectul, primesc un nou token de acces și îl folosesc pentru a accesa datele victimei.
- Atacatorii ascund imediat din nou aplicația de victimă.
- Pentru a menține persistența, bucla de atac trebuie să fie executată periodic înainte ca proiectul de ștergere în așteptare să fie curățat.
„În timpul Pasului 2 al buclei de atac, accesul reapare în pagina „Aplicații cu acces la contul tău”, ceea ce înseamnă că victima poate elimina din punct de vedere tehnic accesul aplicației în această fereastră de timp”, au explicat cercetătorii. „Cu toate acestea, este un interval de timp foarte limitat, care durează până când atacatorul execută din nou Pasul 1 al buclei de atac.”
Bătălia eternă pentru utilizare și securitate
Gour observă că vulnerabilitatea a fost una neobișnuită, deoarece se referea la o caracteristică de bază care, aparent, se comporta așa cum ar trebui: oferirea dezvoltatorilor de flexibilitate fără blocarea utilizatorilor finali cu note despre aplicațiile pe care nu le mai pot folosi.
„În mod normal, când vorbim despre vulnerabilități, acestea sunt lucruri care sunt rupte pe care le puteți corecta și continua”, explică el. „Dar în acest caz, a fost de fapt o caracteristică de bază a GCP și modul în care creați proiecte în GCP. De fapt, este frumos să poți reveni la lucruri pe care le-ai făcut în trecut, pe care nu ai vrut să le ștergi. Dar, pe de altă parte, cu puțină creativitate și o abordare foarte simplă, s-ar putea transforma în ceva care poate sparge complet modul în care gestionarea identității și a accesului este realizată de o terță parte externă care a fost integrată în acest mediu ( OAuth).”
Și, într-adevăr, bug-ul vorbește despre împingerea continuă dintre uzabilitate și securitate care se simte în toate părțile unui mediu de întreprindere, notează Gour.
„Implicațiile pentru securitate în cloud, mai ales că afectează organizațiile și informațiile private ale atâtor oameni în zilele noastre, este asta da, uneori se pune în calea productivității sau mobilității personale și asta ne dorim?” el spune. „Trebuie să te gândești la aceste lucruri încă din faza de proiectare și să evaluezi caracteristicile pentru echilibrul dintre valoarea pentru utilizator și securitate. Este mult, mult, mult, mult, mai ușor de făcut înainte ca totul să fie implementat și sute sau mii de oameni îl folosesc.”
Ghost No More: atenuare și un patch
La începutul acestei luni, Google a lansat un patch global, remediind problema, asigurându-se că aplicațiile aflate în stare de ștergere în așteptare sunt încă vizibile în ecranul de gestionare a aplicațiilor unui utilizator. Cu toate acestea, cercetătorii Astrix au avertizat că, deși nu sunt conștienți de exploatarea activă, administratorii Google Workspace ar trebui să caute aplicații care ar fi putut ataca utilizatorii înainte ca patch-ul să fie inițiat pe 7 aprilie.
Acest lucru se poate face în două moduri, au spus cercetătorii:
- Căutarea aplicațiilor al căror ID de client este același cu câmpul „displayText” și eliminarea accesului lor dacă se dovedesc a fi rău intenționate;
- Sau inspectarea evenimentelor din jurnalul OAuth din funcția „Audit și investigare” a Google Workspace pentru activitatea de simbol a oricăror astfel de aplicații.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Sursa: https://www.darkreading.com/remote-workforce/-ghosttoken-opens-google-accounts-to-permanent-infection
- :este
- 1
- 20
- 7
- a
- Capabil
- Despre Noi
- acces
- accesarea
- Conform
- Cont
- Conturi
- activ
- activitate
- de fapt
- administratori
- TOATE
- de-a lungul
- an
- analiză
- și
- Orice
- aplicaţia
- aplicație
- aplicatii
- abordare
- Apps
- Aprilie
- SUNT
- Mulțime
- AS
- asociate
- At
- ataca
- Atacuri
- de audit
- Autentificare
- fundal
- Sold
- bazat
- Pe scurt
- Luptă
- BE
- deoarece
- devine
- înainte
- între
- Pic
- atât
- Pauză
- Spart
- Bug
- construit
- întreprinderi
- by
- Calendar
- apel
- CAN
- caz
- cazuri
- provocări
- client
- clientii
- Cloud
- Platforma Cloud
- Comun
- complet
- Consecințele
- continua
- Nucleu
- ar putea
- ambarcaţiunilor
- crea
- creativitate
- PERICOL
- de date
- zi
- Zi
- dedicat
- Amenajări
- detalii
- Dezvoltator
- Dezvoltatorii
- FĂCUT
- diferit
- a descoperit
- jos
- Descarca
- conduce
- numit
- în timpul
- mai ușor
- cu ușurință
- ecosistemele
- e-mailuri
- Inginerie
- Afacere
- intră
- Mediu inconjurator
- medii
- mai ales
- evalua
- Chiar
- evenimente
- Fiecare
- in fiecare zi
- tot
- exemplu
- Executa
- existent
- a explicat
- explică
- Exploata
- exploatare
- exploatat
- extern
- extrem
- cuprinzător
- Caracteristică
- DESCRIERE
- camp
- Fişiere
- defect
- Flexibilitate
- Pentru
- FRAME
- din
- complet
- în general
- obține
- Fantomă
- Oferirea
- Caritate
- Merge
- Hărți Google
- acordarea
- mână
- Avea
- he
- Ascuns
- Ascunde
- deține
- gazdă
- Gazdele
- Cum
- Totuși
- HTTPS
- sute
- ID
- Identitate
- imediat
- implementat
- implicații
- in
- În altele
- Inclusiv
- persoane fizice
- informații
- integrate
- în
- investigaţie
- problema
- IT
- ESTE
- în sine
- jpg
- ca
- Limitat
- mic
- Locuiește
- Locații
- mai lung
- Uite
- făcut
- menține
- FACE
- Efectuarea
- administrare
- multe
- mulți oameni
- Harta
- piaţă
- pieţe
- Mai..
- mijloace
- atenuare
- mobilitate
- Lună
- mai mult
- Nou
- Acces nou
- în mod normal
- notițe
- oauth
- of
- oferit
- oficial
- on
- ONE
- în curs de desfășurare
- afară
- deschide
- or
- de organizare
- organizații
- Altele
- al nostru
- proprietar
- pagină
- piese
- parte
- trecut
- Plasture
- în așteptarea
- oameni
- Efectua
- permanent
- permisiuni
- persistență
- persoană
- personal
- perspectivă
- fază
- Phishing
- atacuri de phishing
- Fotografii
- fizic
- Loc
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- "vă rog"
- privat
- informații private
- procese
- productivitate
- proiect
- Proiecte
- Dovedi
- scop
- repede
- RE
- Citind
- Realitate
- primește
- se referă
- legate de
- eliberat
- minte
- amintindu-
- scoate
- eliminarea
- Raportat
- cercetător
- cercetători
- reveni
- Produse laminate
- s
- Said
- acelaşi
- spune
- scenariu
- Ecran
- sigur
- securitate
- vulnerabilitatea securității
- sensibil
- servește
- serviciu
- Servicii
- să
- parte
- întrucât
- singur
- So
- Social
- Inginerie sociala
- ceva
- vorbeşte
- specific
- începe
- Stat
- Pas
- Încă
- stoca
- magazine
- simplu
- astfel de
- Vorbi
- echipă
- Tehnic
- acea
- lor
- Lor
- Acestea
- lucruri
- Gândire
- Al treilea
- terț
- acest
- mii
- timp
- la
- semn
- Urmărire
- de încredere
- transformat
- uzabilitate
- utilizare
- Utilizator
- utilizatorii
- obișnuit
- utilitate
- valoare
- de
- Victimă
- vizibil
- Vulnerabilitățile
- vulnerabilitate
- a fost
- Cale..
- modalități de
- we
- site-uri web
- Ce
- care
- în timp ce
- voi
- cu
- în
- fără
- cuvinte
- valoare
- scrie
- Tu
- Ta
- zephyrnet