Un ensemble de nouvelles méthodes d’attaque ont été démontrées contre Google Workspace et Google Cloud Platform qui pourraient être potentiellement exploitées par les acteurs malveillants pour mener des attaques de ransomware, d’exfiltration de données et de récupération de mots de passe.
« En partant d’une seule machine compromise, les acteurs malveillants pourraient progresser de plusieurs manières : ils pourraient se déplacer vers d’autres machines clonées avec GCPW installés, accédez à la plate-forme cloud avec des autorisations personnalisées ou déchiffrez les mots de passe stockés localement pour poursuivre leur attaque au-delà de l’écosystème Google », Martin Zugec, directeur des solutions techniques chez Bitdefender, dit dans un nouveau rapport.
La condition préalable à ces attaques est que l’acteur malveillant ait déjà accédé à une machine locale par d’autres moyens, ce qui incite Google à marquer le bug comme non éligible à la correction « puisque cela ne relève pas de notre modèle de menace et que le comportement est conforme aux pratiques de Chrome en matière de stockage de données locales. »
Cependant, la société roumaine de cybersécurité a averti que les acteurs malveillants pourraient exploiter ces failles pour étendre la compromission d’un seul point de terminaison à une violation à l’échelle du réseau.
En résumé, les attaques reposent sur l’utilisation par une organisation du fournisseur d’informations d’identification Google pour Windows (GCPW), qui offre à la fois la gestion des appareils mobiles (MDM) et l’authentification unique (SSO) capacités.
Cela permet aux administrateurs de gérer et de contrôler à distance les appareils Windows dans leurs environnements Google Workspace, ainsi qu’aux utilisateurs d’accéder à leurs appareils Windows en utilisant les mêmes informations d’identification que celles utilisées pour se connecter à leurs comptes Google.
GCPW est conçu pour utiliser un compte de service privilégié local nommé Administration des comptes et identifiants Google (Gaïa) pour faciliter de manière transparente le processus en arrière-plan en se connectant aux API Google pour vérifier les informations d’identification d’un utilisateur lors de l’étape de connexion et en stockant un jeton d’actualisation pour éviter le besoin de ré-authentification.
Avec cette configuration en place, un attaquant ayant accès à une machine compromise peut extraire les jetons OAuth d’actualisation d’un compte, soit à partir du registre Windows, soit à partir du répertoire de profil Chrome de l’utilisateur, et contourner les protections d’authentification multifacteur (MFA).
Le jeton d’actualisation est ensuite utilisé pour créer une requête HTTP POST vers le point de terminaison « https://www.googleapis[.]com/oauth2/v4/token » pour obtenir un jeton d’accès, qui, à son tour, peut être utilisé de manière abusive pour récupérer, manipuler ou supprimer des données sensibles associées au compte Google.
Un deuxième exploit concerne ce qu’on appelle le mouvement latéral Golden Image, qui se concentre sur les déploiements de machines virtuelles (VM) et profite du fait que la création d’une machine en clonant une autre machine avec GCPW préinstallé entraîne la perte du mot de passe associé au compte GAIA. cloné également.
« Si vous connaissez le mot de passe d’un compte local et que les comptes locaux sur toutes les machines partagent le même mot de passe, alors vous connaissez les mots de passe de toutes les machines », a expliqué Zugec.
« Ce défi de mot de passe partagé est similaire au fait d’avoir le même mot de passe d’administrateur local sur toutes les machines qui a été résolu par la solution de mot de passe d’administrateur local de Microsoft (TOURS). »
La troisième attaque implique l’accès aux informations d’identification en texte clair en exploitant le jeton d’accès acquis à l’aide de la technique susmentionnée pour envoyer une requête HTTP GET à un point de terminaison d’API non documenté et obtenir la clé RSA privée requise pour déchiffrer le champ de mot de passe.
« Avoir accès aux informations d’identification en clair, telles que les noms d’utilisateur et les mots de passe, représente une menace plus grave », a déclaré Zugec. « En effet, cela permet aux attaquants de usurper directement l’identité d’utilisateurs légitimes et d’obtenir un accès illimité à leurs comptes, ce qui pourrait conduire à un piratage complet du compte. »