Proti Google Workspace a Google Cloud Platform byla demonstrována sada nových metod útoků, které by mohly být potenciálně využity aktéry hrozeb k provádění ransomwaru, exfiltrace dat a útoků na obnovu hesla.
„Počínaje jediným kompromitovaným počítačem mohou aktéři hrozeb postupovat několika způsoby: mohli by se přesunout na jiné klonované počítače s nainstalovaným GCPW, získat přístup ke cloudové platformě s vlastními oprávněními nebo dešifrovat lokálně uložená hesla, aby pokračovali v útoku mimo ekosystém Google,“ uvedl v nové zprávě Martin Zugec, ředitel technických řešení ve společnosti Bitdefender.
Předpokladem pro tyto útoky je, že hacker již získal přístup k místnímu počítači jinými prostředky, což přimělo Google, aby označil chybu jako nezpůsobilou k opravě, „protože je mimo náš model ohrožení a chování je v souladu s postupy Chrome pro ukládání místních dat”.
Rumunská firma zabývající se kybernetickou bezpečností však varovala, že aktéři hrozeb mohou tyto mezery využít k rozšíření kompromisu jediného koncového bodu na narušení celé sítě.
Útoky spoléhají na to, že organizace používá poskytovatele pověření Google pro Windows (GCPW), který nabízí jak správu mobilních zařízení (MDM), tak možnosti jednotného přihlašování (SSO).
To umožňuje správcům vzdáleně spravovat a ovládat zařízení Windows v rámci jejich prostředí Google Workspace a také uživatelům umožňuje přistupovat ke svým zařízením Windows pomocí stejných přihlašovacích údajů, které se používají k přihlášení k jejich účtům Google.
GCPW je navržena tak, aby používala místní privilegovaný servisní účet s názvem Google Accounts and ID Administration (GAIA) k bezproblémovému usnadnění procesu na pozadí připojením k rozhraním Google API pro ověření přihlašovacích údajů uživatele během kroku přihlášení a uložením obnovovacího tokenu, aby se tomu zabránilo nutnosti opětovného ověření.
S tímto nastavením může útočník s přístupem ke kompromitovanému počítači extrahovat obnovovací tokeny OAuth účtu, a to buď z registru Windows, nebo z adresáře profilu uživatele Chrome, a obejít ochranu vícefaktorové autentizace (MFA).
Obnovovací token je následně použit k vytvoření požadavku HTTP POST na koncový bod „https://www.googleapis[.]com/oauth2/v4/token“ k získání přístupového tokenu, který lze zase zneužít k načtení, manipulovat nebo mazat citlivá data spojená s účtem Google.
Druhý exploit se týká toho, čemu se říká laterální pohyb Golden Image, který se zaměřuje na nasazení virtuálních strojů (VM) a využívá skutečnosti, že vytvoření stroje klonováním jiného stroje s předinstalovaným GCPW způsobí, že heslo spojené s účtem GAIA bude také klonované.
„Pokud znáte heslo k místnímu účtu a místní účty na všech počítačích sdílejí stejné heslo, znáte hesla ke všem počítačům,“ vysvětlil Zugec.
„Tento problém se sdíleným heslem je podobný tomu, že máte na všech počítačích stejné heslo místního správce, které bylo řešeno řešením Microsoft Local Administrator Password Solution (LAPS).”
Třetí útok zahrnuje přístup k přihlašovacím údajům ve formátu prostého textu využitím přístupového tokenu získaného pomocí výše uvedené techniky k odeslání požadavku HTTP GET do nezdokumentovaného koncového bodu API a získání soukromého klíče RSA, který je nutný k dešifrování pole hesla.
„Přístup k přihlašovacím údajům v prostém textu, jako jsou uživatelská jména a hesla, představuje závažnější hrozbu,” řekl Zugec. „Je to proto, že umožňuje útočníkům přímo se vydávat za legitimní uživatele a získat neomezený přístup k jejich účtům, což může vést k úplnému převzetí účtu.”
Zdroj: thehackernews.com
Obrázek: svstudioart/Freepik
Zdroj: IT SECURITY NETWORK NEWS
