ผู้โจมตีใช้ประโยชน์จาก Google ที่ไม่มีเอกสาร OAuth ปลายทางเพื่อแย่งชิงเซสชันผู้ใช้และอนุญาตการเข้าถึงบริการของ Google อย่างต่อเนื่อง แม้ว่าจะรีเซ็ตรหัสผ่านแล้วก็ตาม
ผู้คุกคามที่เรียกว่า “Prisma” ได้เปิดเผยช่องโหว่ที่สำคัญ ซึ่ง “อนุญาตให้สร้างคุกกี้ Google แบบถาวรผ่านการจัดการโทเค็น ตามข้อมูล โพสต์บล็อกล่าสุด โดย Pavan Karthick M นักวิจัยข่าวกรองภัยคุกคามที่ CloudSEK
ผู้ขโมยข้อมูลที่มีชื่อเสียงเช่น ลุมมา และ ราดามันธีส นับตั้งแต่นั้นเป็นต้นมาได้รวมความสามารถไว้ในมัลแวร์ของพวกเขา หลังจากที่ผู้คุกคามที่อยู่เบื้องหลัง Lumma ได้ออกแบบสคริปต์แบบย้อนกลับและปรับปรุงวิธีการด้วยเทคนิค blackboxing ขั้นสูง
“นี่เป็นจุดเริ่มต้นของผลกระทบระลอกคลื่น เนื่องจากการใช้ประโยชน์แพร่กระจายอย่างรวดเร็วในกลุ่มมัลแวร์ต่างๆ เพื่อให้ทัดเทียมกับคุณสมบัติที่เป็นเอกลักษณ์” Karthick M เขียน
นักวิจัยของ CloudSEK ได้เรียนรู้เกี่ยวกับการใช้ประโยชน์จากช่องโหว่แบบ Zero-day ในเดือนตุลาคม เมื่อ Prisma ได้ประกาศในช่อง Telegram ซึ่งเปิดเผยวิธีการหลีกเลี่ยงมาตรการรักษาความปลอดภัยทั่วไปในเซสชันบัญชี Google
วิธีการนี้มีคุณลักษณะหลักสองประการ: เซสชัน Google ของผู้ใช้ยังคงใช้งานได้แม้ว่าจะมีการเปลี่ยนรหัสผ่านบัญชี ทำให้มั่นใจได้ว่าจะสามารถเข้าถึง Gmail และบัญชีอื่นๆ ได้อย่างต่อเนื่อง นอกจากนี้ บางคนสามารถสร้างคุกกี้ที่ถูกต้องได้ในกรณีที่เซสชั่นหยุดชะงัก ซึ่งจะช่วยเพิ่ม “ความสามารถของผู้โจมตีในการรักษาการเข้าถึงที่ไม่ได้รับอนุญาต” Karthick M เขียนในโพสต์
น่าแปลกที่ทีมวิจัยภัยคุกคามของ CloudSEK ร่วมมือกับ Prisma เอง (และวิศวกรรมย้อนกลับของมัลแวร์ที่ฝังช่องโหว่) ระบุรากของช่องโหว่ที่ตำแหน่งข้อมูล Google Oauth ที่ไม่มีเอกสารชื่อ “MultiLogin”
ความเสี่ยงทางไซเบอร์ของ OAuth กับรางวัล
OAuth เป็นมาตรฐานการตรวจสอบสิทธิ์แบบเปิดที่ใช้ตั้งแต่ปี 2007 สำหรับการเข้าถึงข้ามแพลตฟอร์ม ตัวอย่างหนึ่งคือฟังก์ชัน "เข้าสู่ระบบด้วย Google" ที่ใช้ในเว็บไซต์ต่างๆ OAuth ช่วยให้แอปพลิเคชันสามารถเข้าถึงข้อมูลและทรัพยากรไปยังบริการออนไลน์และไซต์ที่เชื่อถือได้อื่นๆ ตามสิทธิ์ที่กำหนดโดยผู้ใช้ และเป็นกลไกที่รับผิดชอบในการโอนการรับรองความถูกต้องระหว่างไซต์ต่างๆ
แม้ว่ามาตรฐานจะมีประโยชน์อย่างแน่นอน แต่ก็ยังสร้างความเสี่ยงให้กับองค์กรด้วยหากไม่ได้นำไปใช้อย่างถูกต้อง และมีหลายวิธีที่ผู้โจมตีสามารถใช้อินสแตนซ์ที่มีช่องโหว่และตัวมาตรฐานเองในทางที่ผิดได้ ตัวอย่างเช่นนักวิจัยด้านความปลอดภัยได้ พบข้อบกพร่อง ในการดำเนินการที่ได้เปิดเผยแพลตฟอร์มบริการออนไลน์ที่สำคัญเช่น Booking.com และ คนอื่น ๆ ที่จะโจมตี ในขณะเดียวกัน คนอื่นๆ ก็ใช้แอป OAuth ที่เป็นอันตรายในการสร้างสรรค์ของพวกเขา เพื่อประนีประนอมเซิร์ฟเวอร์ Microsoft Exchange.
ในกรณีของอุปกรณ์ปลายทางของ Google การใช้ประโยชน์จาก OAuth ที่ Prisma ค้นพบจะกำหนดเป้าหมายไปที่ตาราง token_service ของ Google Chrome เพื่อแยกโทเค็นและรหัสบัญชีของโปรไฟล์ Chrome ที่เข้าสู่ระบบตาม CloudSEK ตารางนั้นประกอบด้วยคอลัมน์ “สำคัญ” สองคอลัมน์ชื่อ “บริการ (GAIA ID)” และ “encrypted_token” Karthick M อธิบาย
“โทเค็นที่เข้ารหัสจะถูกถอดรหัสโดยใช้คีย์เข้ารหัสที่จัดเก็บไว้ใน Local State ของ Chrome ภายในไดเร็กทอรี UserData ซึ่งคล้ายกับการเข้ารหัสที่ใช้สำหรับจัดเก็บรหัสผ่าน” เขาเขียน
CloudSEK ใช้ซอร์สโค้ดของ Chromium เพื่อระบุตำแหน่งข้อมูล MultiLogin เป็นกลไกภายในที่ออกแบบมาเพื่อซิงโครไนซ์บัญชี Google ข้ามบริการต่างๆ อำนวยความสะดวกให้กับประสบการณ์ผู้ใช้ที่สอดคล้องกันโดยทำให้แน่ใจว่าสถานะบัญชีเบราว์เซอร์สอดคล้องกับคุกกี้การตรวจสอบสิทธิ์ของ Google
“จุดสิ้นสุดนี้ทำงานโดยการยอมรับเวกเตอร์ของรหัสบัญชีและโทเค็นการเข้าสู่ระบบการตรวจสอบสิทธิ์ ซึ่งเป็นข้อมูลที่จำเป็นสำหรับการจัดการเซสชันพร้อมกันหรือการสลับระหว่างโปรไฟล์ผู้ใช้ได้อย่างราบรื่น” Karthick M เขียน ด้วยวิธีนี้ นี่เป็นส่วนสำคัญของระบบ OAuth ของ Google โดยยอมรับเวกเตอร์ของรหัสบัญชีและโทเค็นการเข้าสู่ระบบการตรวจสอบสิทธิ์ เขาอธิบาย
การใช้ MultiLogin ในทางที่ผิด
อย่างไรก็ตาม “บทบาทสำคัญในการตรวจสอบสิทธิ์ผู้ใช้” ของ MultiLogin อาจถูกนำไปใช้ในทางที่ผิดได้ หากการสื่อสารข้ามบัญชีได้รับการจัดการอย่างไม่ถูกต้อง CloudSEK วิเคราะห์แนวทางของ Lumma ซึ่งเป็นผู้ขโมยข้อมูลรายแรกที่พัฒนาเทคนิคในการใช้ประโยชน์จากช่องโหว่นี้ เพื่อให้ความกระจ่างเกี่ยวกับวิธีการทำงานของการละเมิดนี้
“แนวทางของ Lumma ขึ้นอยู่กับการจัดการโทเค็น: คู่ GAIA ID อย่างละเอียด ซึ่งเป็นองค์ประกอบสำคัญในกระบวนการตรวจสอบสิทธิ์ของ Google” Karthick M อธิบาย
คู่นี้เมื่อใช้ร่วมกับปลายทาง MultiLogin จะเปิดใช้งานการสร้างคุกกี้บริการของ Google ใหม่ อย่างไรก็ตาม Lumma เข้ารหัสโทเค็นนี้: GAIA ID จับคู่กับคีย์ส่วนตัวที่เป็นกรรมสิทธิ์ ซึ่ง "แบล็กบ็อกซ์" กระบวนการแสวงหาผลประโยชน์อย่างมีประสิทธิภาพ โดยเก็บกลไกหลักไว้เป็นความลับ
แบล็คบ็อกซ์นี้น่าจะทำขึ้นเพื่อจุดประสงค์สองประการ นั่นคือ ปิดบังกลไกหลักของการหาประโยชน์ ซึ่งทำให้ผู้คุกคามรายอื่นเลียนแบบได้ยากขึ้น CloudSEK ระบุว่ามีโอกาสน้อยที่จะทำให้เกิดการแจ้งเตือนในระบบรักษาความปลอดภัยเครือข่าย เนื่องจากโปรโตคอลความปลอดภัยมาตรฐานมักจะมองข้ามการรับส่งข้อมูลที่เข้ารหัส โดยเข้าใจผิดว่าถูกต้องตามกฎหมาย
ในท้ายที่สุด การจัดการคู่โทเค็น:GAIA ID ช่วยให้ Lumma สร้างคุกกี้ใหม่สำหรับบริการของ Google ได้อย่างต่อเนื่อง ซึ่งเป็นช่องโหว่ที่ยังคงมีผลแม้ว่าผู้ใช้จะรีเซ็ตรหัสผ่านแล้วก็ตาม CloudSEK พบ “การคงอยู่ของการเข้าถึงนี้ทำให้สามารถใช้ประโยชน์จากบัญชีผู้ใช้และข้อมูลได้เป็นเวลานานและอาจไม่มีใครสังเกตเห็น” Karthick M เขียน
นอกจากนี้ การปรับเปลี่ยนการหาประโยชน์ในเวลาต่อมาของ Lumma ซึ่งแนะนำการใช้พร็อกซี SOCKS เพื่อหลีกเลี่ยงข้อจำกัดด้าน IP ของ Google ในเรื่องการสร้างคุกกี้ ได้เปิดเผยรายละเอียดบางส่วนของเทคนิคโดยไม่ได้ตั้งใจ สิ่งนี้ปูทางให้ผู้ขโมยข้อมูลรายอื่น ๆ หันมาใช้ช่องโหว่นี้ รวมถึง Rhadamanthys, Risepro, Meduza, Stealc Stealer และล่าสุดเมื่อวันที่ 26 ธันวาคม White Snake ตาม CloudSEK
ความซับซ้อนของการโจมตีทางไซเบอร์ที่เพิ่มมากขึ้นต้องการการตอบสนอง
ท้ายที่สุดแล้ว การตัดสินใจทางยุทธวิธีของผู้แสดงภัยคุกคาม Lumma ในการเข้ารหัสองค์ประกอบหลักของการหาประโยชน์แสดงให้เห็นถึงการลักลอบที่เพิ่มขึ้นและลักษณะที่ซับซ้อนของภัยคุกคามทางไซเบอร์ พฤติกรรมที่ต้องการให้ผู้พิทักษ์ก็ยกระดับเกมของพวกเขาเช่นกัน ตาม CloudSEK
“สิ่งนี้บ่งบอกถึงการเปลี่ยนแปลงภูมิทัศน์ของการพัฒนามัลแวร์ โดยเน้นที่การปกปิดและการป้องกันวิธีการหาประโยชน์เพิ่มมากขึ้น เช่นเดียวกับประสิทธิภาพของการหาประโยชน์เอง” Karthick M เขียน
ในทางกลับกัน พฤติกรรมขั้นสูงนี้เน้นย้ำถึงความจำเป็นที่องค์กรต่างๆ ต้องใช้การตรวจสอบอย่างต่อเนื่องทั้งช่องโหว่ทางเทคนิคและแหล่งข้อมูลข่าวกรองของมนุษย์ เพื่อก้าวนำหน้าภัยคุกคามทางไซเบอร์ที่เกิดขึ้น Karthick M เขียนไว้ เนื่องจากความร่วมมือระหว่างทั้งสอง “มีความสำคัญอย่างยิ่งในการเปิดเผยและทำความเข้าใจการหาประโยชน์ที่ซับซ้อน ”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions
