2023 年 10 月,一位名为 PRISMA 的开发人员首次发现了一种漏洞,该漏洞允许通过操纵令牌生成永久性的谷歌 cookie。即使在用户重置密码后,攻击者仍可以使用该漏洞访问谷歌服务。
来自Hudson Rock的研究人员是最早警告攻击者利用零日漏洞的人之一:
所有 Infostealer 组织正在利用的 Google 0-Day:https://t.co/V5EuU0LFzz pic.twitter.com/xZnobAuuap
——哈德森·洛克(@RockHudsonRock),2023年12月27日
CloudSEK对漏洞进行了逆向工程,发现它依赖于一个未记录在案的Google OAuth端点,名为“MultiLogin”。MultiLogin 端点是一种内部机制,允许跨服务同步 Google 帐户。
此端点接收包含帐户ID和auth-login令牌的向量,以有效地处理并发会话或在用户配置文件之间无缝过渡。
11 月 14 日,有人利用该漏洞发现了 Lumma Infostealer。随后,其他恶意软件也集成了该漏洞,包括 Rhadamanthys、Risepro、Meduza、Stealc Stealer 以及最近的白蛇。
研究人员发现,该恶意软件针对Chrome的WebData的token_service表,以提取登录的chrome配置文件的令牌和帐户ID。
CloudSEK发布的报告中写道:“该表包含两个关键列:service(GAIA ID)和encrypted_token。加密令牌使用Chrome用户数据目录中的本地状态中存储的加密密钥进行解密,类似于用于存储密码的加密。”
Lumma恶意软件通过操纵token:GAIA ID对,不断为谷歌服务重新生成cookie。专家指出,即使在用户重置密码后,该漏洞仍然有效。报告继续写道:“这种持续的访问允许对用户帐户和数据进行长期且可能未被注意的利用。”
重置密码后成功恢复Cookie
报告总结道:“对图7所示源代码中用户代理字符串的分析(com.google.Drive/6.0.230903 iSL/3.4 iPhone/15.7.4 hw/iPhone9_4 (gzip))表明,对苹果设备上谷歌云端硬盘服务的渗透测试是该漏洞的潜在来源。该漏洞的不完善测试导致了其来源的暴露。”
原文始发于微信公众号(黑猫安全):恶意软件利用未记录的 GOOGLE OAUTH 端点来重新生成 GOOGLE COOKIES
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论