Birçok bilgi çalan kötü amaçlı yazılım türleri devralmak için MultiLogin adlı belgelenmemiş bir Google OAuth uç noktasından aktif olarak yararlanıyorlar Google hesapları şifre sıfırlamadan sonra bile.
Tarafından bildirildiği üzere BleepingBilgisayarbu istismar belirli kötü amaçlı yazılım türlerinin süresi dolmuş kimlik doğrulama çerezlerini geri yüklemesine olanak tanır ve bunlar daha sonra kurbanların Google hesaplarına giriş yapmak için kullanılır.
Web’de kullanılan çeşitli tarayıcı çerezlerinden, oturum çerezleri kimlik doğrulama bilgilerini içeren özel bir çerez türüdür. Tarayıcınızı açıp daha önce oturum açtığınız bir siteye gittiyseniz, bu, oturum çerezleri kullanılarak yapılır. Ancak bu tür çerezler, bilgisayar korsanları tarafından çalınan hesaplara süresiz olarak giriş yapmak için kullanılamamaları amacıyla, süreleri dolmadan önce kısa bir ömre sahip olacak şekilde tasarlanmıştır.
Geçen yılın Kasım ayında, siber suçlular Lumma Ve Rhadamanthys bilgi çalan kötü amaçlı yazılım türleri, siber saldırılarda çalınan süresi dolmuş Google Kimlik Doğrulama çerezlerini geri yükleyebildiklerini iddia etti. Elinizde bu çerezler varken, bir bilgisayar korsanı siz çıkış yaptıktan, şifrenizi sıfırladıktan veya oturumlarının süresi dolduktan sonra bile Google hesabınıza yetkisiz erişim sağlayabilir.
Süresi dolmuş Google Kimlik Doğrulama çerezlerini geri yükleme
Bilgisayar korsanlarının bu yeni özelliği nasıl kullandığını daha iyi açıklamak amacıyla sıfır gün istismarısiber güvenlik firması BulutSEK bir yayınladı yeni rapor.
Raporda, firmanın araştırmacıları bu istismarın ilk olarak PRISMA adlı bir tehdit aktörü tarafından ortaya çıkarıldığını açıklıyor. Telgraf geçen yılın Ekim ayında geri gönder. Gönderide süresi dolan Google kimlik doğrulama çerezlerini geri yüklemenin bir yolunu bulduklarını açıkladılar.
Buradan hareketle CloudSEK, istismarın tersine mühendisliğini gerçekleştirdi ve bu da, bir dizi farklı Google hizmetindeki hesapları senkronize etmek için kullanılan, MultiLogin adlı belgelenmemiş bir Google OAuth uç noktası kullandığının keşfedilmesine yol açtı.
Bilgi hırsızlığı yapan kötü amaçlı yazılım, bu uç noktayı kötüye kullanarak, bir Google hesabında oturum açmış olan Chrome profillerinden jetonları ve hesap kimliklerini çıkarabilir. Çalınan bu bilgilerin içinde iki kritik veri parçası bulunuyor: GAIA Kimliği ve şifrelenmiş tokenlar. Bu şifrelenmiş belirteçlerin şifresi, Chrome’un “Yerel Durum” dosyasında saklanan bir şifreleme kullanılarak çözülür ve bu şifreleme anahtarı, kurbanın tarayıcısında kayıtlı şifrelerin şifresini çözmek için de kullanılabilir.
Bilgisayar korsanları, çalınan jetonları ve Google’ın MultiLogin uç noktasını kullanarak süresi dolmuş Google Hizmeti çerezlerini yeniden oluşturabilir ve güvenliği ihlal edilmiş hesaplara kalıcı erişim sağlayabilir. Bir kimlik doğrulama çerezinin yalnızca bir kullanıcının Google şifresini sıfırlaması durumunda bir kez yeniden oluşturulabileceğini belirtmekte fayda var. Eğer yapmazlarsa, birden çok kez yeniden oluşturulabilir.
Bu sıfır gün açığından yararlanan saldırılara karşı nasıl korunuruz?
Neyse ki Google bu sorunun farkındadır ve bir açıklama yaparak Hacker Haberleribir şirket sözcüsü, kullanıcıların Chrome’u kullanırken kendilerini nasıl koruyabilecekleri konusunda bazı ipuçlarının yanı sıra daha fazla ayrıntı verdi.
Çerezleri ve oturum belirteçlerini çalmak yeni bir şey değil ve arama devinin belirttiği gibi “tespit edilen tüm hesapların güvenliğinin sağlanması için harekete geçti.” Benzer şekilde Google sözcüsü, “etkilenen tarayıcıdan çıkış yapmanın” kullanıcının oturum çerezlerini iptal edeceğine dikkat çekiyor. Aynı zamanda şirket, kullanıcıların Gelişmiş Güvenli Tarama Kötü amaçlı yazılımlara karşı ek koruma için Chrome’da ve Kimlik avı saldırıları.
Hesabınızı bilgisayar korsanlarından korumak için Google şifrenizi de düzenli olarak değiştirmelisiniz. Yeni şifreler bulmakta zorlanıyorsanız, şifre oluşturucu yardımcı olabilir ve tüm en iyi şifre yöneticileri da bu özelliği sunuyor. Kendinizi ve cihazlarınızı kötü amaçlı yazılımlardan ve bilgisayar korsanlarından korumaya gelince, en iyi antivirüs yazılımı PC’nizde, en iyi Mac antivirüs yazılımı Apple bilgisayarlarınızda ve şunlardan birinde en iyi Android antivirüs uygulamaları Android akıllı telefonunuzda.
Artık bilgisayar korsanları, oturum çerezlerini kötü amaçlı yazılımlarına geri yükleme özelliğini nasıl ekleyeceklerini bulduklarına göre, Google, Chrome’daki çerez ve belirteç hırsızlığını engellemek için çalışırken, daha fazla kötü amaçlı yazılım türünün bu özelliği benimsemesini bekliyoruz.