Eine neue Methode hat es Hackern angeblich ermöglicht, die Funktionalität des OAuth2-Autorisierungsprotokolls auszunutzen, um Google-Konten zu hacken und gültige Sitzungen aufrechtzuerhalten, indem Cookies trotz Zurücksetzen der IP-Adresse oder des Passworts neu erstellt werden.
Nach Angaben des Sicherheitsunternehmens CloudSEK verfügt der Bedrohungsakteur unter dem Pseudonym PRISMA über einen robusten Zero-Day-Exploit und hat eine ausgeklügelte Lösung entwickelt, um durch Token-Manipulation dauerhafte Google-Cookies zu erstellen.
„Dieser Exploit ermöglicht den fortgesetzten Zugriff auf Google-Dienste, selbst nachdem das Passwort eines Nutzers zurückgesetzt wurde“, heißt es in dem Bericht.
OAuth 2.0 steht für „Open Authorization 2.0“ und ist ein weit verbreitetes Protokoll zur Sicherung und Autorisierung des Zugriffs auf Ressourcen im Internet. Es erleichtert die Überprüfung der Identität eines Benutzers, indem er auf dessen Social-Media-Konten wie Google oder Facebook klickt.
Das CloudSEK-Bedrohungsforschungsteam identifizierte die Ursache des Exploits in einem undokumentierten Google OAuth-Endpunkt namens „MultiLogin“. Hierbei handelt es sich um einen internen Mechanismus, der dazu dient, Google-Konten über die Dienste hinweg zu synchronisieren und so sicherzustellen, dass der Browser-Kontostatus mit den Google-Authentifizierungscookies übereinstimmt.
Der Entwickler der Schwachstelle äußerte „Offenheit für die Zusammenarbeit“, was die Entdeckung des für die Cookie-Erneuerung verantwortlichen Endpunkts beschleunigte.
Diese Schwachstelle, die am 14. November in eine Malware namens Lumma Infostealer integriert wurde, weist zwei Hauptmerkmale auf: Sitzungspersistenz und Cookie-Generierung. Um die erforderlichen Geheimnisse, Token und Konto-IDs herauszufiltern, zielt die Malware auf die WebData-token_service-Tabelle von Chrome für angemeldete Chrome-Profile ab.
„Die Sitzung bleibt auch dann gültig, wenn das Kontopasswort geändert wird, was einen einzigartigen Vorteil bei der Umgehung typischer Sicherheitsmaßnahmen bietet.“ Der Bericht zitiert Prisma. „Die Möglichkeit, im Falle einer Sitzungsunterbrechung gültige Cookies zu erstellen, verbessert die Fähigkeit eines Angreifers, unbefugten Zugriff aufrechtzuerhalten.“
Forscher haben einen besorgniserregenden Trend zur schnellen Integration von Exploits zwischen verschiedenen Infostealer-Gruppen beobachtet. Sie glauben, dass die Ausnutzung des undokumentierten Google OAuth2 MultiLogin-Endpunkts ein Paradebeispiel für Raffinesse darstellt, da der Ansatz auf einer sorgfältigen Manipulation des GAIA-ID-Codes (Google Accounts and ID Management) beruht. Die Malware verbirgt den Ausnutzungsmechanismus mithilfe einer Verschlüsselungsebene.
„Dieser Exploit zeigt ein höheres Maß an Raffinesse und Verständnis für die internen Authentifizierungsmechanismen von Google. Durch die Manipulation des Token-GAIA-ID-Paares kann Lumma kontinuierlich Cookies für Google-Dienste neu erstellen. Noch beunruhigender ist die Tatsache, dass dieser Exploit weiterhin effektiv ist.“ Auch danach Wenn Benutzer ihre Passwörter zurücksetzen, ermöglicht dieser fortgesetzte Zugriff, dass Benutzerkonten und -daten für lange Zeit, möglicherweise unbemerkt, ausgenutzt werden.
Cybernews hat sich an Google gewandt, aber noch keine Antwort erhalten.
Holen Sie sich die besten Angebote für den Passwort-Manager für den Urlaub:
Mehr von Cyber News:
Clash of Clans-Spieler sind gefährdet, wenn sie eine Drittanbieter-App verwenden
Der Cybernews-Podcast erklärt die KI-Saga von 2023
Die zehn größten Sicherheitsvorfälle im Jahr 2023
Hacker legen über Weihnachten große Mengen persönlicher Daten im Darknet offen
Google legt Verbraucherschutzklage in Höhe von 5 Milliarden US-Dollar bei
Teilnehmen Zu unserem Newsletter
More Stories
Neue Trends in der Technologie
Neue Warnung vor Passwort-Hacking für Gmail-, Facebook- und Amazon-Benutzer
Lamborghini Revoleto: 4-Sterne-Bewertung