Nová metóda umožňuje hackerom používať funkcionalitu overovacieho protokolu OAuth2 na kompromitovanie účtov Google a udržiavanie platných relácií opätovným vytváraním súborov cookie napriek resetovaniu adresy IP alebo hesla.
Podľa bezpečnostnej firmy CloudSEK sa aktér hrozieb pod názvom PRISMA pochválil výkonným zero-day exploitom a vyvinul sofistikované riešenie na trvalé generovanie súborov cookie Google prostredníctvom manipulácie s tokenom.
„Toto zneužitie umožňuje nepretržitý prístup k službám Google aj po tom, čo používateľ resetuje svoje heslo,“ uvádza sa v správe.
OAuth 2.0 je skratka pre „Open Authentication 2.0“ a je široko používaný protokol na zabezpečenie a overenie prístupu k zdrojom na internete. To uľahčuje overenie identity používateľa klepnutím na jeho účty sociálnych médií, ako je Google alebo Facebook.
Výskumný tím hrozieb CloudSEK identifikoval zdroj zneužitia v nezdokumentovanom koncovom bode Google Oauth s názvom „Multi Login“. Ide o interný mechanizmus určený na synchronizáciu účtov Google medzi službami, čím sa zabezpečí, že úrovne účtov prehliadača sú v súlade s overovacími súbormi cookie spoločnosti Google.
Vývojár exploitu „vyjadril otvorenosť k spolupráci“, čo urýchlilo objavenie koncového bodu zodpovedného za reprodukciu cookies.
Využitie, ktoré bolo súčasťou malvéru Lumma InfoStealer 14. novembra, má dve kľúčové funkcie: pretrvávanie relácie a vytváranie súborov cookie. Malvér sa zameriava na tabuľku token_service prehliadača Chrome s údajmi WebData prihlásených profilov Chrome, aby extrahoval požadované tajomstvá, tokeny a ID účtov.
„Relácia zostáva platná, aj keď sa zmení heslo účtu, čo poskytuje výraznú výhodu obchádzania konvenčných bezpečnostných opatrení.“ Správa sa odvoláva na Prisma. „Možnosť vytvárať platné súbory cookie v prípade prerušenia relácie zlepšuje schopnosť útočníka udržať si neoprávnený prístup.“
Výskumníci zaznamenali trend rýchlej vykorisťovateľskej konvergencie medzi rôznymi skupinami infostealerov. Myslia si, že nezdokumentovaný koncový bod Google OAuth2 MultiLogin poskytuje učebnicový príklad techniky exploitu, pretože GAIA ID (Google Accounts and ID Administration) pristupuje k jemnozrnnej manipulácii s tokenom. Malvér skrýva algoritmus zneužitia pomocou šifrovacej vrstvy.
„Táto technika exploitu demonštruje vysokú úroveň sofistikovanosti a pochopenia interných mechanizmov overovania Google. Manipuláciou s párom token: GAIA ID môže Lumma nepretržite regenerovať súbory cookie pre služby Google. Ešte znepokojujúcejšie je, že exploit zostáva účinný aj po tom, čo používatelia resetujú svoje heslá. Toto pretrvávanie prístupu umožňuje dlhodobé a nepozorované využívanie používateľských účtov a údajov,“ uzavrel tím CloudSEK.
CyberNews oslovil Google, ale zatiaľ nedostal odpoveď.
Získajte najlepšie ponuky správcu hesiel HOLIDAY:
Viac od CyberNews:
Hráči Clash of Clans sú ohrození pri používaní aplikácie tretej strany
Cybernews Podcast odhaľuje AI Odyssey roku 2023
10 najväčších bezpečnostných incidentov roku 2023
Hackeri počas Vianoc odhaľujú osobné údaje na dark webe
Google rieši súdny spor o ochranu osobných údajov spotrebiteľov v hodnote 5 miliárd dolárov
Registrovať do nášho newslettera
Popová kultúra. Nie je možné písať so zapnutými boxerskými rukavicami. Zlý hráč. Unapologetická hudba fanatická.“
/cloudfront-us-east-2.images.arcpublishing.com/reuters/ITQ5PCIWHRJ5VBWPUUHKGUTTFU.jpg "Kapitálová injekcia: Slovensko poskytuje peniaze ľuďom nad 60 rokov, aby dostali injekciu COVID")