Siber güvenlik araştırmacıları, Google Cloud Platform’da (GCP) artık yama uygulanmış olan ve tehdit aktörlerinin bir kurbanın Google hesabındaki kaldırılamaz, kötü amaçlı bir uygulamayı gizlemesine olanak sağlayabilecek sıfır gün açığının ayrıntılarını açıkladı.
dublajlı Hayalet Jetonu İsrailli siber güvenlik şirketi Astrix Security tarafından geliştirilen bu eksiklik, kurumsal odaklı Workspace hesapları da dahil olmak üzere tüm Google hesaplarını etkiliyor. 19 Haziran 2022’de keşfedildi ve Google’a bildirildi. Şirket, dokuz aydan uzun bir süre sonra 7 Nisan 2023’te küresel bir yama yayınladı.
“Güvenlik açığı […] Saldırganların, zaten yetkilendirilmiş bir üçüncü taraf uygulamasını kötü amaçlı bir trojan uygulamasına dönüştürerek kurbanın Google hesabına kalıcı ve kaldırılamaz erişim elde etmesine olanak tanıyor ve kurbanın kişisel verilerini sonsuza kadar açıkta bırakıyor,” Astrix söz konusu bir raporda.
Özetle, kusur bir saldırganın kötü amaçlı uygulamasını kurbanın Google hesabından gizlemesini mümkün kılar. uygulama yönetimi sayfasıböylece kullanıcıların erişimini iptal etmesini etkili bir şekilde önler.
Bu, silerek elde edilir GCP projesi Ile ilişkili yetkili OAuth uygulaması, “silinmeyi bekliyor” durumuna girmesine neden olur. Bu yeteneğe sahip olan tehdit aktörü, daha sonra projeyi geri yükleyerek hileli uygulamayı gösterebilir ve kurbanın verilerini elde etmek için erişim belirtecini kullanabilir ve onu tekrar görünmez hale getirebilir.
Astrix, “Başka bir deyişle, saldırgan, kurbanın hesabında bir ‘hayalet’ jeton tutuyor” dedi.
Erişilebilecek verilerin türü, uygulamaya verilen izinlere bağlıdır; bu izinler, saldırganlar Google Drive’dan dosyaları silmek, kurban adına e-postalar yazmak, sosyal mühendislik saldırıları gerçekleştirmek, konumları izlemek ve Google’dan hassas verileri çalmak için kötüye kullanabilir. Takvim, Fotoğraflar ve Drive.
Astrix, “Kurbanlar, Google Marketplace’ten masum gibi görünen bir uygulamayı veya çevrimiçi olarak sunulan birçok üretkenlik aracından birini yükleyerek bilmeden bu tür kötü amaçlı uygulamalara erişim izni verebilir.”
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
“Kötü amaçlı uygulama yetkilendirildikten sonra, güvenlik açığından yararlanan bir saldırgan, Google kullanıcılarının hesaplarına bağlı üçüncü taraf uygulamaları görüntüleyebildiği tek yer olan Google’ın “Hesabınıza erişimi olan uygulamalar” yönetim özelliğini atlayabilir.”
Google’ın yaması, artık silinmeyi bekleyen uygulamaları üçüncü taraf erişim sayfasında görüntüleyerek ve kullanıcıların bu tür uygulamalara verilen izni iptal etmesine olanak tanıyarak sorunu giderir.
Geliştirme, Google Cloud’un Cloud Asset Inventory API’deki bir ayrıcalık yükseltme kusurunu düzeltmesiyle geldi. Varlık Anahtarı Hırsızı kullanıcı tarafından yönetilen Hizmet Hesabı özel anahtarlarını çalmak ve değerli verilere erişim elde etmek için kullanılabilir. SADA tarafından bu Şubat ayının başlarında keşfedilen sorun, teknoloji devi tarafından 14 Mart 2023’te yamalandı.
Bulgular, bulut olay müdahale firması Mitiga’nın, rakiplerin hassas verileri sızdırmak için GCP’deki “yetersiz” adli tıp görünürlüğünden yararlanabileceğini açıklamasından bir aydan biraz daha uzun bir süre sonra geldi.