Googleアカウント。この方法では、IPアドレスやパスワードを変更しても、クッキーを再生成することで有効なセッションを維持できます。 新しいハッカー攻撃者が OAuth 2.0 Authorisation Protocol の機能を悪用して GoogleCloudSEK CloudSEK レポートを侵害する可能性がある。
CloudSEKの研究者チームが、"MultiLogin "と呼ばれる文書化されていないGoogle Oauthアクセスポイントを使用した攻撃を発見した。 「MultiLogin」は、様々なサービス間でGoogleアカウントを同期させるために設計された内部メカニズムで、ブラウザ内のアカウント状態がGoogleの認証クッキーと一致するようにします。
は協力する意思を示し、クッキーの再 生成に責任のあるアクセス・ポイントの発見を早めた。 アクセス・ポイントを使う
Infostealer マルウェア。 Lummaの主な機能は、セッションの永続化とクッキーの生成です。このアプリケーションは、ログインChromeプロファイルのWebDataにあるtoken_serviceテーブルを攻撃することで、必要なシークレット、トークン、アカウントIDを抽出するように設計されています。
「アカウントのパスワードが変更されてもセッションは有効なままであり、これは典型的なセキュリティ対策を回避する上でユニークな利点である。
研究者は、様々なサイバー犯罪グループの間で、脆弱性の悪用が急速に強化されている懸念すべき傾向を指摘している。Googleの文書化されていないOAuth2 MultiLoginアクセスポイントを悪用する方法は、Google Account and ID Management (GAIA)トークンの微妙な操作に依存しているため、洗練された典型的な例です。このマルウェアは、エクスプロイトの仕組みを隠すために暗号レイヤーを使用しています。
この悪用テクニックは、Googleの内部認証メカニズムに対する高度な洗練と理解を示しています。Lummaは「Token:GAIA ID」のペアを操作することで、Googleサービスのクッキーを継続的に再生成することができ、特に問題なのは、ユーザーのパスワードがリセットされてもエクスプロイトが有効なままであることです。" とCloudSEKチームは結論づけた。
参照する:
https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking
元記事はbatsomによるもの。転載の際は、https://cncso.com/jp/文書化されていないoauth2セッションハイジャックを。