CloudSEK的威胁研究团队最近发现,Telegram频道上有人披露了关于Google帐户的一个漏洞,该漏洞允许恶意软件恢复已过期的身份验证Cookie,并将之用于登录受害者的 Google帐户。
在网络上使用的各种浏览器Cookie中,会话Cookie尤为特殊,其中包含身份验证信息。像用户打开浏览器时能够直接访问以前登录过的网站,就是使用会话Cookie完成的。出于安全方面的考虑,通常这类Cookie被设计为只具有短暂的生命周期,以防止被不当利用。
该漏洞利用技术最初是于2023年10月20日由一个名为PRISMA的黑客在其Telegram频道上披露。此后,该项技术迅速被整合到各种恶意软件即服务(MaaS)信息窃取家族中,如Lumma、Rhadamanthys、Stealc、Meduza、RisePro和WhiteSnake。
2023年11 月,Lumma和Rhadamanthys信息窃取恶意软件的网络犯罪分子声称,他们能够恢复在网络攻击中窃取的已过期的Google身份验证Cookie,有了这些Cookie,他们能够在用户注销、重置密码或其会话已过期后未经授权地访问其Google 帐户。
网络安全公司CloudSEK在一份研究报告中具体说明了黑客是如何利用该新0day的。CloudSEK对这个漏洞进行了反向工程,发现它使用了一个名为MultiLogin的未记录的 Google OAuth端点(用于在多个不同的Google服务之间同步帐户)。
通过滥用这个端点,信息窃取恶意软件能够从已登录到Google帐户的Chrome配置文件中提取令牌和帐户 ID。在这些窃取的信息中,有两个关键的数据:GAIA ID和加密令牌。这些加密令牌使用存储在Chrome的“本地状态”文件中的加密密钥进行解密。通过使用窃取的令牌和Google的MultiLogin端点,黑客可以重新生成已过期的Google服务Cookie,并持续访问被攻陷的帐户。
对于此事,谷歌官方回应道:“Google已知悉最近有恶意软件家族窃取会话令牌的报告。涉及恶意软件窃取Cookie和令牌的攻击并不新鲜;我们经常升级我们的防御措施来抵御这类技术,以保护成为恶意软件受害者的用户。在这种情况下,Google已经采取行动来保护任何被发现受到影响的帐户。”
“然而,重要的是要注意报告中存在的一个误解——被盗的令牌和cookie不能被用户撤销。这是不正确的,因为被盗的会话可以通过简单地注销受影响的浏览器,或者通过用户设备页面远程撤销。我们将继续监控情况,并根据需要提供更新。”
谷歌另外还建议用户在Chrome中启用增强安全浏览,以防范网络钓鱼和恶意软件下载。
编辑:左右里
资讯来源:CloudSEK、Cybernews
转载请注明出处和本文链接
原文始发于微信公众号(看雪学苑):谷歌OAuth验证系统曝漏洞,恶意软件能够用以窃取Google帐户
评论