Tin tặc có thể khai thác Google Workspace và Cloud Platform để tấn công với mã độc tống tiền ransomware

Tin tặc có thể khai thác Google Workspace và Cloud Platform để tấn công với mã độc tống tiền ransomware

Một tập hợp các phương thức tấn công mới đã được chứng minh chống lại Google Workspace và Google Cloud Platform. Các phương thức này có thể bị các tác nhân đe dọa lợi dụng để thực hiện các cuộc tấn công bằng phần mềm tống tiền, đánh cắp dữ liệu và khôi phục mật khẩu.

Tin tặc có thể khai thác Google Workspace và Cloud Platform để tấn công với mã độc tống tiền ransomware

“Bắt đầu từ một máy bị xâm nhập duy nhất, các tác nhân đe dọa có thể tiến triển theo nhiều cách: chúng có thể di chuyển sang các máy nhân bản khác có cài đặt GCPW, giành quyền truy cập vào nền tảng đám mây với quyền tùy chỉnh hoặc giải mã mật khẩu được lưu trữ cục bộ để tiếp tục cuộc tấn công ngoài hệ sinh thái Google”. ”, Martin Zugec, giám đốc giải pháp kỹ thuật tại Bitdefender, cho biết trong một báo cáo mới.

Điều kiện tiên quyết cho các cuộc tấn công này là kẻ xấu đã có quyền truy cập vào máy cục bộ thông qua các phương tiện khác, khiến Google đánh dấu lỗi là không đủ điều kiện để sửa "vì nó nằm ngoài mô hình mối đe dọa của chúng tôi và hành vi này phù hợp với thông lệ của Chrome." lưu trữ dữ liệu cục bộ."

Tuy nhiên, công ty an ninh mạng Romania đã cảnh báo rằng các tác nhân đe dọa có thể khai thác những lỗ hổng như vậy để mở rộng một thỏa hiệp điểm cuối duy nhất thành một hành vi vi phạm trên toàn mạng.

Tóm lại, các cuộc tấn công dựa vào việc tổ chức sử dụng Nhà cung cấp thông tin xác thực Google cho Windows (GCPW), cung cấp cả khả năng quản lý thiết bị di động (MDM) và đăng nhập một lần (SSO).

Điều này cho phép quản trị viên quản lý và điều khiển từ xa các thiết bị Windows trong môi trường Google Workspace của họ, cũng như cho phép người dùng truy cập vào thiết bị Windows của họ bằng chính thông tin đăng nhập được dùng để đăng nhập vào tài khoản Google của họ.

GCPW được thiết kế để sử dụng tài khoản dịch vụ đặc quyền cục bộ có tên là Tài khoản Google và Quản trị ID (GAIA) nhằm hỗ trợ liền mạch quá trình trong nền bằng cách kết nối với API Google để xác minh thông tin xác thực của người dùng trong bước đăng nhập và lưu trữ mã thông báo làm mới để loại bỏ sự cần thiết phải xác thực lại.

Với thiết lập này, kẻ tấn công có quyền truy cập vào máy bị xâm nhập có thể trích xuất mã thông báo OAuth làm mới của tài khoản, từ sổ đăng ký Windows hoặc từ thư mục hồ sơ Chrome của người dùng và bỏ qua các biện pháp bảo vệ xác thực đa yếu tố (MFA).

Sau đó, mã thông báo làm mới được sử dụng để tạo yêu cầu HTTP POST tới điểm cuối "https://www.googleapis[.]com/oauth2/v4/token" nhằm lấy mã thông báo truy cập, do đó, có thể bị lạm dụng để truy xuất , thao túng hoặc xóa dữ liệu nhạy cảm được liên kết với Tài khoản Google.

Cách khai thác thứ hai liên quan đến chuyển động bên cạnh Golden Image, tập trung vào việc triển khai máy ảo (VM) và lợi dụng thực tế là việc tạo một máy bằng cách sao chép một máy khác có GCPW được cài đặt sẵn sẽ khiến mật khẩu liên kết với tài khoản GAIA bị lộ. nhân bản là tốt.

Zugec giải thích: “Nếu bạn biết mật khẩu của một tài khoản cục bộ và các tài khoản cục bộ trên tất cả các máy đều có chung một mật khẩu thì bạn biết mật khẩu của tất cả các máy”.

"Thử thách mật khẩu dùng chung này tương tự như việc có cùng một mật khẩu quản trị viên cục bộ trên tất cả các máy đã được Giải pháp mật khẩu quản trị viên cục bộ (LAPS) của Microsoft giải quyết."

Cuộc tấn công thứ ba đòi hỏi quyền truy cập vào thông tin xác thực văn bản gốc bằng cách tận dụng mã thông báo truy cập có được bằng kỹ thuật nói trên để gửi yêu cầu HTTP GET đến điểm cuối API không có giấy tờ và lấy khóa RSA riêng cần thiết để giải mã trường mật khẩu.

Zugec cho biết: “Việc có quyền truy cập vào thông tin xác thực bằng văn bản gốc, chẳng hạn như tên người dùng và mật khẩu, là mối đe dọa nghiêm trọng hơn”. “Điều này là do nó cho phép kẻ tấn công trực tiếp mạo danh người dùng hợp pháp và có quyền truy cập không hạn chế vào tài khoản của họ, có khả năng dẫn đến việc chiếm đoạt tài khoản hoàn toàn.”

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Hướng dẫn cách ngắt kết nối thiết bị cũ khỏi tài khoản My Kaspersky khi cài lại hệ điều hành Windows

Bài viết này sẽ hướng dẫn bạn cách ngắt kết nối thiết bị cũ khỏi tài khoản My Kaspersky khi cài lại hệ điều hành Windows.

Chi tiết
Standard Post with Image

Nhiều trang web chống virus giả mạo này phát tán phần mềm độc hại trên Android và Windows

Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng giải pháp chống vi-rút hợp pháp từ Avast,...

Chi tiết
Standard Post with Image

Các nhà nghiên cứu phát hiện hoạt động khai thác khoáng sản plugin WordPress

Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao trong plugin WordPress đang bị các tác nhân đe dọa...

Chi tiết