Google 帐户。此方法允许您通过重新生成 cookie 来维持有效的会话,即使在更改 IP 地址或密码后也是如此。 ,一种新的黑客方法允许攻击者利用 OAuth 2.0 授权协议功能来危害 GoogleCloudSEK CloudSEK的报告
Ein Team von CloudSEK-Forschern hat einen Angriff entdeckt, der einen undokumentierten Google Oauth-Zugangspunkt namens "MultiLogin" nutzt. "MultiLogin" ist ein interner Mechanismus, der dazu dient, Google-Konten über verschiedene Dienste hinweg zu synchronisieren und sicherzustellen, dass der Kontostatus im Browser mit dem Authentifizierungs-Cookie von Google übereinstimmt.
erklärten sich zur Zusammenarbeit bereit, was die Ermittlung des für die Neuerstellung des Cookies verantwortlichen Zugangspunkts beschleunigte. Unter Verwendung der
Infostealer-Malware. Zu den Hauptfunktionen von Lumma gehören Sitzungsaufrechterhaltung und Cookie-Generierung. Die Anwendung ist so konzipiert, dass sie die erforderlichen Geheimnisse, Token und Konto-IDs extrahiert, indem sie die Tabelle token_service in WebData des Chrome-Anmeldeprofils angreift.
"Die Sitzungen bleiben auch dann gültig, wenn das Passwort des Kontos geändert wird, was einen einzigartigen Vorteil bei der Umgehung typischer Sicherheitsmaßnahmen darstellt", zitiert der Bericht PRISMA, den Autor des Exploits.
Forscher haben einen besorgniserregenden Trend zur raschen Konsolidierung von Schwachstellen-Exploits bei verschiedenen cyberkriminellen Gruppen festgestellt. Die Ausnutzung des undokumentierten OAuth2-MultiLogin-Zugangspunkts von Google ist ein Paradebeispiel für die Raffinesse, da die Methode auf einer subtilen Manipulation von Google Account and ID Management (GAIA)-Tokens beruht. Die Malware verwendet eine kryptografische Schicht, um den Exploit-Mechanismus zu verbergen.
Diese Ausnutzungstechnik zeigt ein hohes Maß an Raffinesse und Verständnis der internen Authentifizierungsmechanismen von Google. Durch die Manipulation des Paares "Token:GAIA ID" kann Lumma kontinuierlich Cookies für Google-Dienste neu generieren. Besonders beunruhigend ist, dass die Sicherheitslücke auch dann bestehen bleibt, wenn das Passwort eines Nutzers zurückgesetzt wird, so dass Nutzerkonten und -daten fortlaufend und potenziell unentdeckt ausgenutzt werden können. " So das Fazit des CloudSEK-Teams.
Referenz:
https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking
Originalartikel von batsom, bei Vervielfältigung bitte https://www.cncso.com/de/google-accounts-malwares-exploiting-undocumented-oauth2-session-hijacking.html angeben.
