Nová metoda údajně umožnila hackerům zneužít funkci autorizačního protokolu OAuth2 k hacknutí účtů Google a udržování platných relací opětovným vytvářením souborů cookie navzdory resetování IP adresy nebo hesla.
Podle bezpečnostní firmy CloudSEK se aktér hrozeb pod alias PRISMA může pochlubit robustním zero-day exploitem a vyvinul sofistikované řešení pro vytváření trvalých souborů cookie Google prostřednictvím manipulace s tokeny.
„Tento exploit umožňuje nepřetržitý přístup ke službám Google, a to i po resetování hesla uživatele,“ uvádí zpráva.
OAuth 2.0 znamená „Otevřená autorizace 2.0“ a je široce používaným protokolem pro zabezpečení a autorizaci přístupu ke zdrojům na internetu. Umožňuje snadné ověření identity uživatele kliknutím na jeho účty na sociálních sítích, jako je Google nebo Facebook.
Tým pro výzkum hrozeb CloudSEK identifikoval kořen zneužití v nezdokumentovaném koncovém bodu Google Oauth s názvem „MultiLogin“. Jedná se o interní mechanismus určený k synchronizaci účtů Google napříč službami a zajišťuje, že stavy účtů prohlížeče jsou konzistentní s ověřovacími soubory cookie Google.
Vývojář zranitelnosti vyjádřil „otevřenost spolupráci“, což urychlilo odhalení koncového bodu zodpovědného za obnovu souborů cookie.
Tato chyba zabezpečení, která byla 14. listopadu integrována do malwaru s názvem Lumma Infostealer, má dvě hlavní vlastnosti: persistenci relace a generování souborů cookie. Za účelem odfiltrování požadovaných tajných klíčů, tokenů a ID účtů zacílí malware na tabulku token_service prohlížeče Chrome WebData pro přihlášené profily Chrome.
„Relace zůstává platná i po změně hesla účtu, což poskytuje jedinečnou výhodu v obcházení typických bezpečnostních opatření.“ Zpráva cituje Prismu. „Schopnost vytvářet platné soubory cookie v případě přerušení relace zvyšuje schopnost útočníka udržet si neoprávněný přístup.“
Výzkumníci pozorovali znepokojivý trend rychlé integrace exploitů mezi různými skupinami Infostealer. Domnívají se, že využívání nezdokumentovaného koncového bodu Google OAuth2 MultiLogin poskytuje učebnicový příklad sofistikovanosti, protože tento přístup spoléhá na pečlivou manipulaci s kódem GAIA ID (Google Accounts and ID Management). Malware skrývá mechanismus zneužívání pomocí vrstvy šifrování.
„Tento exploit demonstruje vyšší úroveň propracovanosti a porozumění interním ověřovacím mechanismům Google. Manipulací s párem token:GAIA ID může Lumma neustále znovu vytvářet soubory cookie pro služby Google. Ještě znepokojivější je skutečnost, že tento exploit zůstává účinný.“ uživatelé resetují svá hesla, tento trvalý přístup umožňuje zneužívání uživatelských účtů a dat po dlouhou dobu, možná bez povšimnutí.
Cybernews oslovil Google, ale zatím nedostal odpověď.
Získejte nejlepší prázdninové nabídky správce hesel:
Více z Cyber News:
Hráči Clash of Clans jsou při používání aplikace třetí strany ohroženi
Podcast Cybernews vysvětluje ságu AI z roku 2023
Deset největších bezpečnostních incidentů v roce 2023
Hackeři přes Vánoce odhalují na dark webu velké množství osobních údajů
Google urovnal soudní spor o ochranu soukromí spotřebitelů ve výši 5 miliard dolarů
Účastnit se Do našeho newsletteru
„Přátelský průkopník popkultury. Hodně padá. Sociální média geek. Obecný fanatik do kávy. Televizní nadšenec. Potížista.“
