攻击者滥用 Google OAuth 端点劫持用户会话

阅读量50589

发布时间 : 2024-01-03 11:05:08

Google Chrome 图标上方带有“Google Chrome”字样,旁边是 Mozilla FIrefox 图标

攻击者一直在利用未记录的 Google OAuth端点来劫持用户会话,并允许持续访问 Google 服务,即使在密码重置后也是如此。

CloudSEK 威胁情报研究员 Pavan Karthick M最近发表的一篇博客文章称,一个名为“Prisma”的威胁行为者发现了这一关键漏洞,该漏洞“允许通过令牌操作生成持久性 Google cookie” 。

在 Lumma 背后的威胁行为者对脚本进行逆向工程并使用先进的黑盒技术改进了方法后,Lumma和Rhadamanthys等著名的信息窃取者已将该功能集成到其恶意软件中。

Karthick M 写道:“这标志着连锁反应的开始,因为该漏洞利用在各个恶意软件组织中迅速传播,以保持独特的功能。”

CloudSEK 研究人员于 10 月份了解到了该零日漏洞,当时 Prisma 在其 Telegram 频道上发布公告,揭示了一种绕过 Google 帐户会话上典型安全措施的方法。

该方法有两个主要特点:即使帐户密码发生更改,用户的Google会话仍然有效,确保对Gmail和其他帐户的持续访问;此外,有人可以在会话中断时生成有效的 cookie,从而增强“攻击者维持未经授权访问的能力”,Karthick M 在帖子中写道。

讽刺的是,通过与 Prisma 本身(以及它自己对漏洞嵌入恶意软件的逆向工程)的合作,CloudSEK 的威胁研究团队在一个名为“MultiLogin”的未记录的 Google Oauth 端点上确定了该漏洞的根源。

OAuth 网络风险与回报

OAuth 是自 2007 年以来用于跨平台访问的开放身份验证标准 – 一个例子是跨网站使用的“使用 Google 登录”功能。OAuth 使应用程序能够根据用户设置的权限访问其他可信在线服务和站点的数据和资源,并且它是负责站点之间身份验证切换的机制。

虽然该标准确实有用,但如果未正确实施,它也会给组织带来风险,并且攻击者可以通过多种方式滥用易受攻击的实例和标准本身。例如,安全研究人员发现其实施中存在缺陷,导致Booking.com等关键在线服务平台遭受攻击。与此同时,其他人使用他们创建的恶意 OAuth 应用程序来破坏 Microsoft Exchange 服务器。

根据 CloudSEK 的说法,就 Google 端点而言,Prisma 发现的 OAuth 漏洞以 Google Chrome 的 token_service 表为目标,以提取登录 Chrome 配置文件的令牌和帐户 ID。Karthick M 解释说,该表包含两个“关键”列,标题为“服务(GAIA ID)”和“加密令牌”。

“加密的令牌是使用存储在 UserData 目录中的 Chrome 本地状态中的加密密钥进行解密的,类似于用于存储密码的加密,”他写道。

CloudSEK 使用 Chromium 的源代码将 MultiLogin 端点识别为一种内部机制,旨在跨服务同步 Google 帐户,通过确保浏览器帐户状态与 Google 的身份验证 cookie 一致来促进一致的用户体验。

Karthick M 写道:“该端点通过接受帐户 ID 和身份验证登录令牌向量进行操作,这些数据对于管理并发会话或在用户配置文件之间无缝切换至关重要。” 他解释说,通过这种方式,它是 Google OAuth 系统的关键部分,接受帐户 ID 和身份验证登录令牌的向量。

滥用多重登录

然而,如果 MultiLogin 的跨帐户通信处理不当,其“在用户身份验证中的重要作用”可能会被滥用。CloudSEK 分析了 Lumma(第一个开发利用该漏洞的技术的信息窃取者)的方法,以揭示这种滥用行为的运作方式。

“Lumma 的方法取决于对令牌:GAIA ID 对的细致操作,这是 Google 身份验证过程中的关键组成部分,”Karthick M 解释道。

该对与 MultiLogin 端点结合使用时,可以重新生成 Google 服务 cookie。然而,Lumma 使用专有私钥加密了这个令牌:GAIA ID 对,这有效地“黑箱”了利用过程,使核心机制保密。

这种黑匣子可能有两个目的:它掩盖了漏洞利用的核心机制,从而使其他威胁行为者更难复制。CloudSEK 表示,它也不太可能触发网络安全系统警报,因为标准安全协议往往会忽略加密流量,将其误认为是合法的。

CloudSEK 发现,最终,通过操纵 token:GAIA ID 对,Lumma 能够不断为 Google 服务重新生成 cookie,即使在用户重置密码后,这一漏洞仍然有效。Karthick M 写道:“这种持续访问允许对用户帐户和数据进行长期且可能不被注意的利用。”

此外,Lumma 随后对该漏洞的改编——引入了 SOCKS 代理来规避 Google 对 cookie 再生的基于 IP 的限制——无意中暴露了其技术的一些细节。据 CloudSEK 称,这为其他信息窃取者采用该漏洞铺平了道路,包括 Rhadamanthys、Risepro、Meduza、Stealc Stealer,以及最近于 12 月 26 日发布的 White Snake。

日益复杂的网络攻击者需要响应

CloudSEK 表示,最终,Lumma 威胁行为者对漏洞利用关键组件进行加密的战术决定表明,网络威胁的隐秘性和复杂性日益增强,这种行为要求防御者也加大力度。

Karthick M 写道:“这标志着恶意软件开发格局的转变,人们越来越重视漏洞利用方法的隐藏和保护,以及漏洞利用本身的有效性。”

Karthick M 写道,这种先进的行为反过来凸显了组织需要对技术漏洞和人类情报来源进行持续监控,以领先于新兴的网络威胁,因为两者之间的合作“对于发现和理解复杂的漏洞至关重要”。 ”

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66