Протокол OAuth2 учетных записей Google сталкивается с новыми угрозами атак

Повторная генерация файлов cookie сервисов Google с использованием недокументированной функциональности OAuth2, независимо от IP-адреса или сброса пароля.

Аккаунт Google. Этот метод позволяет сохранять действительную сессию путем регенерации файлов cookie даже после смены IP-адреса или пароля. НовыйхакерМетод позволяет злоумышленникам использовать функциональность протокола авторизации OAuth 2.0 для компрометации отчета GoogleCloudSEK CloudSEK

Команда исследователей CloudSEK обнаружила атаку с использованием недокументированной точки доступа Google Oauth под названием "MultiLogin". "MultiLogin" - это внутренний механизм, предназначенный для синхронизации учетных записей Google в различных сервисах, гарантирующий, что состояние учетной записи в браузере совпадает с файлом cookie аутентификации Google.

выразили готовность сотрудничать, что ускорило обнаружение точки доступа, ответственной за повторную генерацию cookie. Используя

Вредоносная программа Infostealer. Основные функции Lumma - сохранение сессий и генерация cookie. Приложение предназначено для извлечения необходимых секретов, токенов и идентификаторов учетных записей путем атаки на таблицу token_service в WebData профиля login Chrome.

"Сессии остаются действительными даже при смене пароля учетной записи, что является уникальным преимуществом для обхода типичных мер безопасности", - цитирует отчет автор эксплойта PRISMA.

Исследователи отмечают тревожную тенденцию быстрой консолидации эксплойтов уязвимостей среди различных киберпреступных групп. Эксплуатация недокументированной точки доступа Google OAuth2 MultiLogin - яркий пример изощренности, поскольку метод основан на тонких манипуляциях с токенами Google Account and ID Management (GAIA). Вредоносная программа использует криптографический слой, чтобы скрыть механизм эксплойта.

Эта техника эксплуатации демонстрирует высокую степень изощренности и понимания внутренних механизмов аутентификации Google. Манипулируя парой "Token:GAIA ID", Lumma может постоянно регенерировать cookies для сервисов Google, и, что особенно тревожно, эксплойт остается в силе даже при сбросе пароля пользователя, позволяя постоянно и потенциально незаметно эксплуатировать пользовательские аккаунты и данные. " заключила команда CloudSEK.

Ссылаться на:

https://www.cloudsek.com/blog/compromising-google-accounts-malwares-exploiting-undocumented-oauth2-functionality-for-session-hijacking

Оригинальная статья написана batsom, при воспроизведении просьба указывать: https://cncso.com/ru/google-accounts-malwares-exploiting-undocumented-oauth2-session-hijacking.html.

Нравиться (0)
Предыдущий 30 декабря 2023 пп11:03
Следующий 31 декабря 2023 года пп6:00

связанное предложение