Google-Konto. Diese Methode ermöglicht es Ihnen, eine gültige Sitzung aufrechtzuerhalten, indem Cookies neu generiert werden, auch wenn Sie Ihre IP-Adresse oder Ihr Passwort ändern. Eine neueHacker (Informatik) (Lehnwort)Methode ermöglicht es Angreifern, die Funktionalität des OAuth 2.0-Autorisierungsprotokolls auszunutzen, um GoogleCloudSEK CloudSEK report zu kompromittieren
Ein Team von CloudSEK-Forschern hat einen Angriff entdeckt, der einen undokumentierten Google Oauth-Zugangspunkt namens "MultiLogin" nutzt. "MultiLogin" ist ein interner Mechanismus, der dazu dient, Google-Konten über verschiedene Dienste hinweg zu synchronisieren und sicherzustellen, dass der Kontostatus im Browser mit dem Authentifizierungs-Cookie von Google übereinstimmt.
erklärten sich zur Zusammenarbeit bereit, was die Ermittlung des für die Neuerstellung des Cookies verantwortlichen Zugangspunkts beschleunigte. Unter Verwendung der
Infostealer-Malware. Zu den Hauptfunktionen von Lumma gehören Sitzungsaufrechterhaltung und Cookie-Generierung. Die Anwendung ist so konzipiert, dass sie die erforderlichen Geheimnisse, Token und Konto-IDs extrahiert, indem sie die Tabelle token_service in WebData des Chrome-Anmeldeprofils angreift.
"Die Sitzungen bleiben auch dann gültig, wenn das Passwort des Kontos geändert wird, was einen einzigartigen Vorteil bei der Umgehung typischer Sicherheitsmaßnahmen darstellt", zitiert der Bericht PRISMA, den Autor des Exploits.
Forscher haben einen besorgniserregenden Trend zur raschen Konsolidierung von Schwachstellen-Exploits bei verschiedenen cyberkriminellen Gruppen festgestellt. Die Ausnutzung des undokumentierten OAuth2-MultiLogin-Zugangspunkts von Google ist ein Paradebeispiel für die Raffinesse, da die Methode auf einer subtilen Manipulation von Google Account and ID Management (GAIA)-Tokens beruht. Die Malware verwendet eine kryptografische Schicht, um den Exploit-Mechanismus zu verbergen.
Diese Ausnutzungstechnik zeigt ein hohes Maß an Raffinesse und Verständnis der internen Authentifizierungsmechanismen von Google. Durch die Manipulation des Paares "Token:GAIA ID" kann Lumma kontinuierlich Cookies für Google-Dienste neu generieren. Besonders beunruhigend ist, dass die Sicherheitslücke auch dann bestehen bleibt, wenn das Passwort eines Nutzers zurückgesetzt wird, so dass Nutzerkonten und -daten fortlaufend und potenziell unentdeckt ausgenutzt werden können. " So das Fazit des CloudSEK-Teams.
Referenz:
https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking
Originalartikel von batsom, bei Vervielfältigung bitte angeben: https://cncso.com/de/google-accounts-malwares-exploiting-undocumented-oauth2-session-hijacking.html
