Hackeři mohou zneužít platformu Google Workspace a Cloud k útokům ransomwarem

Byla demonstrována sada nových metod útoku proti službě Google Workspace a platformě Google Cloud Platform, které by mohly být potenciálně využity aktéry hrozeb k útokům typu ransomware, exfiltrace dat a obnovy hesel.

„Počínaje jedním kompromitovaným strojem mohou aktéři hrozeb postupovat několika způsoby: mohou se přesunout na další klonované stroje s nainstalovaným Google Credential Provider for Windows (GCPW), získat přístup ke cloudové platformě s vlastními oprávněními nebo dešifrovat lokálně uložená hesla a pokračovat v útoku mimo ekosystém Google,“ uvedl v nové zprávě Martin Zugec, ředitel technických řešení ve společnosti Bitdefender.

Předpokladem pro tyto útoky je, že útočník již získal přístup k místnímu počítači jinými prostředky, což přimělo společnost Google označit chybu jako nezpůsobilou k opravě, „protože je mimo náš model hrozeb a chování je v souladu s postupy Chrome při ukládání místních dat.“

Kybernetická bezpečnost

Rumunská firma zabývající se kybernetickou bezpečností však varovala, že aktéři hrozeb mohou takové mezery využít a rozšířit kompromitaci jednoho koncového bodu na narušení celé sítě.

Útoky se ve zkratce spoléhají na to, že organizace používá službu Google Credential Provider for Windows (GCPW), která nabízí správu mobilních zařízení (MDM) i funkce jednotného přihlášení (SSO).

Správci tak mohou vzdáleně spravovat a ovládat zařízení se systémem Windows v prostředí Google Workspace a uživatelé mohou přistupovat ke svým zařízením se systémem Windows pomocí stejných přihlašovacích údajů, které používají pro přihlášení ke svým účtům Google.

Cloudová platforma pro útoky ransomwaru

Služba GCPW je navržena tak, aby používala místní privilegovaný účet služby s názvem Správa účtů a ID Google (GAIA), který na pozadí bezproblémově usnadňuje proces připojením k rozhraním API Google pro ověření pověření uživatele během kroku přihlášení a uložení tokenu obnovení, aby se zabránilo nutnosti opětovného ověření.

S tímto nastavením může útočník s přístupem k napadenému počítači získat obnovovací tokeny OAuth účtu buď z registru systému Windows, nebo z adresáře profilu uživatele v prohlížeči Chrome, a obejít tak ochranu vícefaktorového ověřování (MFA).

Token obnovení je následně využit k sestavení požadavku HTTP POST na koncový bod „https://www.googleapis[.]com/oauth2/v4/token“ k získání přístupového tokenu, který lze následně zneužít k načtení, manipulaci nebo odstranění citlivých dat spojených s účtem Google.

Kybernetická bezpečnost

Druhé zneužití se týká takzvaného bočního pohybu Golden Image, který se zaměřuje na nasazení virtuálních počítačů a využívá toho, že vytvoření počítače klonováním jiného počítače s předinstalovaným GCPW způsobí, že se naklonuje i heslo spojené s účtem GAIA.

„Pokud znáte heslo k místnímu účtu a místní účty na všech počítačích mají stejné heslo, pak znáte hesla ke všem počítačům,“ vysvětlil Zugec.

Tento problém se sdílenými hesly je podobný problému se stejným heslem místního správce na všech strojích, který řešilo LAPS (Local Administrator Password Solution) společnosti Microsoft.

Třetí útok zahrnuje přístup k přihlašovacím údajům v prostém textu využitím přístupového tokenu získaného výše uvedenou technikou k odeslání požadavku HTTP GET na nedokumentovaný koncový bod API a získání soukromého klíče RSA, který je nutný k dešifrování pole hesla.

„Přístup k pověření v prostém textu, jako jsou uživatelská jména a hesla, představuje závažnější hrozbu,“uvedl Zugec. „Umožňuje totiž útočníkům přímo se vydávat za legitimní uživatele a získat neomezený přístup k jejich účtům, což může vést k úplnému převzetí účtu.“

Zdroj: The Hacker News